Multi-lags sikkerhet beskytter widgeten din, kundedata, og vertsnetsiden. Innholdssikkerhetspolicy blokkerer XSS. Subressursintegritet forhindrer manipulering. Hastighetsbegrensning stopper misbruk. Sandboxing isolerer widgetkode. Sikkerhetsoverskrifter forsvarer mot vanlige angrep.
Sikkerhet er ikke valgfritt. Widgetkode kjører på dine kundevendte sider med tilgang til sensitive interaksjoner. Vår forsvar-i-dybden tilnærming lagrer flere beskyttelser, og sikrer sikkerhet selv om ett lag blir omgått.
CSP-overskrifter spesifiserer hvilke kilder som kan laste skript, stiler, bilder, skrifter, og andre ressurser:
eval og lignende farlige konstruksjoner er forbudtCSP forhindrer 90%+ av XSS-sårbarheter som standard.
Hver widgetressurs (JavaScript, CSS) serveres med en kryptografisk hash. Nettlesere verifiserer hashen før de kjører koden. Hvis en angriper kompromitterer din CDN eller avskjærer trafikk, vil ikke hashen samsvare - nettlesere nekter å laste den manipulerte ressursen.
Widgeten kjører i et isolert JavaScript-modulomfang med begrenset tilgang til foreldresiden:
localStorage eller sessionStorage fra vertenSelv om widgetkoden blir kompromittert, er skaden begrenset.
Sikkerhetsarkitekturen støtter samsvar med: