Proprio come con qualsiasi risorsa esterna, stai perdendo una notevole quantità di informazioni su un sito di terze parti se stai caricando il font esterno in background. Queste preoccupazioni sulla privacy potrebbero essere il motivo principale per cui stanno autorizzando alcuni siti attendibili.
In particolare, stai perdendo l'URL del sito corrente tramite l'intestazione Referer
. Immagina una pagina di reimpostazione della password con un token di ripristino segreto nell'URL che carica un font esterno: il token verrebbe immediatamente divulgato a quel servizio di terze parti. Ad esempio, questo bug report fa riferimento a questo esatto problema.) Anche con contenuti non segreti nell'URL che sarebbero in grado di raccogliere statistiche di utilizzo del tuo sito registrando le visite alle pagine, le stringhe degli user-agent, ecc.
Un'altra minaccia di font di terze parti potrebbe essere il defacement (anche se non rischi l'inserimento di script che faresti con JS esterno). Se il sito di terze parti è stato compromesso, un utente malintenzionato potrebbe modificare il carattere in modo da distruggere il sito Web cambiando il modo in cui vengono visualizzati i caratteri di tale carattere. Ma anche se non ti aspetti che il sito sia compromesso, devi fare affidamento sulla loro disponibilità generale. Quindi, se quel sito non è un CDN affidabile, prenderei in considerazione l'idea di ospitare il font personalmente.