La sicurezza multilivello protegge il tuo widget, i dati dei clienti e il sito web di hosting. La Content Security Policy blocca XSS. L'integrità delle risorse secondarie previene manomissioni. La limitazione della velocità ferma gli abusi. Il sandboxing isola il codice del widget. Le intestazioni di sicurezza difendono contro attacchi comuni.
La sicurezza non è facoltativa. Il codice del widget viene eseguito sulle tue pagine rivolte ai clienti con accesso a interazioni sensibili. Il nostro approccio di difesa in profondità sovrappone più protezioni, garantendo la sicurezza anche se uno strato viene bypassato.
Le intestazioni CSP specificano quali fonti possono caricare script, stili, immagini, font e altre risorse:
eval e costrutti pericolosi simili sono vietati.La CSP previene oltre il 90% delle vulnerabilità XSS per impostazione predefinita.
Ogni risorsa del widget (JavaScript, CSS) viene servita con un hash crittografico. I browser verificano l'hash prima di eseguire il codice. Se un attaccante compromette il tuo CDN o intercetta il traffico, l'hash non corrisponderà: i browser rifiuteranno di caricare la risorsa manomessa.
Il widget viene eseguito in uno scope di modulo JavaScript isolato con accesso limitato alla pagina padre:
localStorage o sessionStorage dall'host.Anche se il codice del widget viene compromesso, il danno è contenuto.
L'architettura di sicurezza supporta la conformità con: