An dieser Stelle zunächst ein DANKESCHÖN an alle für die Hilfestellung.

Mir ging es um die Same-Origin-Policy

Die war aber gegeben.

aber der Pfad innerhalb der Same-Origin-Policy war fraglich. mensch, mensch, mensch

Ich meine, in der Diskussion liegt lediglich ein Missverständnis bezüglich dieser SOP vor.

Ich habe mich bei der Umsetzung strikt am SELFHTML-Artikel zur Schriftarteneinbindung orientiert. Und dort heißt es: „Um die Beschränkungen der same-origin-policy nicht unbeabsichtigt auszulösen, sollten Sie Schriften >>auf der eigenen Domain mit relativen Pfadangaben referenzieren<<.“

Die Beschreibung der same-origin-policy im Self-HTML-Glossar finde ich aber etwas missverständlich. Dort heißt es nämlich:
„Die Same-Origin-Policy (SOP) ist ein Sicherheitskonzept, das clientseitigen Skriptsprachen wie JavaScript, aber auch Cascading Style Sheets einschränkt auf Objekte zuzugreifen, >>die von einer anderen Webseite stammen oder deren Speicherort nicht der Origin entspricht<<.“

Die Frage, die sich stellt, ist ja wohl, was hier mit >>„von einer anderen Webseite stammen“<<, bzw. >>„mit der "Origin“ genau gemeint ist<<. Gemäß den Ausführungen im vorigen Absatz, wäre die Quelle nach meinem Verständnis die URL, von der z.B. die Schriftartdateien (tatsächlich) stammen. Also im obigen Fall fontsquirrel.com .

In der Praxis ist mit der "Origin" aber wohl die Webseite gemeint, auf der (in diesem Fall) die Schriften zur Anwendung kommen sollen, also die URL des jeweiligen Webprojektes. So ergibt es sich jedenfalls aus dem SELFHTML-Arkikel, der eingangs genannt ist und von mir auch entsprechend umgesetzt wurde.
Und diese beiden Aussagen stehen m.E. im Widerspruch zueinander.