La seguridad en múltiples capas protege tu widget, los datos de los clientes y el sitio web de alojamiento. La Política de Seguridad de Contenidos bloquea XSS. La Integridad de Subrecursos previene la manipulación. La limitación de tasas detiene el abuso. La contención aísla el código del widget. Los encabezados de seguridad defienden contra ataques comunes.
La seguridad no es opcional. El código del widget se ejecuta en las páginas de cara al cliente con acceso a interacciones sensibles. Nuestro enfoque de defensa en profundidad superpone múltiples protecciones, asegurando la seguridad incluso si se elude una capa.
Los encabezados CSP especifican qué fuentes pueden cargar scripts, estilos, imágenes, fuentes y otros recursos:
eval y construcciones peligrosas similares están prohibidasCSP previene más del 90% de las vulnerabilidades XSS por defecto.
Cada activo del widget (JavaScript, CSS) se sirve con un hash criptográfico. Los navegadores verifican el hash antes de ejecutar el código. Si un atacante compromete tu CDN o intercepta el tráfico, el hash no coincidirá; los navegadores se niegan a cargar el recurso manipulado.
El widget se ejecuta en un ámbito de módulo JavaScript aislado con acceso limitado a la página principal:
localStorage o sessionStorage del anfitriónIncluso si el código del widget se ve comprometido, el daño se contiene.
La arquitectura de seguridad apoya el cumplimiento con: