In teoria, stai caricando fogli di stile e tipi di carattere da terze parti - come dici tu, sono inclusi nei tag link, che non dovrebbero consentire l'esecuzione di script. Ci sono alcune cose che potrebbero causare perdite di informazioni, e il potenziale per un attacco mirato con conseguente visualizzazione dei dati da modificare.
In termini di perdita di informazioni, i browser per impostazione predefinita inviano un'intestazione di riferimento quando caricano una risorsa. Questo verrà inviato al provider di font e, se i tuoi collegamenti sono strutturati in modo da utilizzare la lunghezza o i valori sconosciuti nell'URL come metodo di protezione, il provider di caratteri potrebbe ignorarlo. Se si stanno eseguendo i controlli di sessione, tuttavia, poiché la maggior parte dei siti Web con sezioni autenticate, non dovrebbe ottenere i token di autenticazione (di solito i cookie). Dato che lavori in un settore sensibile, mi auguro che non sia così.
In termini di dati che sembrano cambiare, un fornitore di caratteri maligni potrebbe fornire font che sono mappati in modo errato. Immagina di aver fornito le icone in un font e di utilizzare un segno di spunta o una croce per indicare, ad esempio, se è stato rilevato che un campione di sangue ha una malattia specifica. Mappando il simbolo "tick" al valore "cross" e viceversa, un utente finale potrebbe pensare di avere una malattia dovuta a vedere questo nell'output. Questo sarebbe un attacco molto mirato, quindi probabilmente si applicherebbe solo in casi molto specifici. È improbabile che ciò accada con Google Fonts, ma potrebbe essere applicato se consentisti il collegamento a caratteri Web arbitrari.
Si noti che per qualsiasi foglio di stile sarebbe possibile eseguire attacchi simili: per i dati sensibili, vale la pena tenere tutto ciò che può modificare il comportamento o l'aspetto dell'applicazione ospitata localmente, a meno che non si abbiano requisiti specifici che lo rendano impossibile.
Per i dati sensibili, consiglierei di ospitare i font (e qualsiasi altro foglio di stile e script) autonomamente, se possibile, solo per la tranquillità.