La sécurité multi-niveaux protège votre widget, les données clients et le site web d'hébergement. La politique de sécurité du contenu bloque les XSS. L'intégrité des sous-ressources empêche la falsification. La limitation de taux stoppe les abus. Le sandboxing isole le code du widget. Les en-têtes de sécurité défendent contre les attaques courantes.
La sécurité n'est pas optionnelle. Le code du widget s'exécute sur vos pages destinées aux clients avec accès à des interactions sensibles. Notre approche de défense en profondeur superpose plusieurs protections, garantissant la sécurité même si une couche est contournée.
Les en-têtes CSP spécifient quelles sources peuvent charger des scripts, des styles, des images, des polices et d'autres ressources :
eval et des constructions dangereuses similaires sont interditsLa CSP prévient par défaut plus de 90 % des vulnérabilités XSS.
Chaque actif du widget (JavaScript, CSS) est servi avec un hachage cryptographique. Les navigateurs vérifient le hachage avant d'exécuter le code. Si un attaquant compromet votre CDN ou intercepte le trafic, le hachage ne correspondra pas — les navigateurs refusent de charger la ressource falsifiée.
Le widget s'exécute dans un espace de module JavaScript isolé avec un accès limité à la page parente :
localStorage ou sessionStorage depuis l'hôteMême si le code du widget est compromis, les dégâts sont contenus.
L'architecture de sécurité soutient la conformité avec :