Multi-laagse beveiliging beschermt uw widget, klantgegevens en hostwebsite. Content Security Policy blokkeert XSS. Subresource Integrity voorkomt manipulatie. Snelheidsbeperkingen stoppen misbruik. Sandboxing isoleert widgetcode. Beveiligingsheaders verdedigen tegen veelvoorkomende aanvallen.
Beveiliging is geen optie. Widgetcode draait op uw klantgerichte pagina's met toegang tot gevoelige interacties. Onze defense-in-depth aanpak stapelt meerdere beschermingen, zodat de beveiliging gewaarborgd is, zelfs als één laag wordt omzeild.
CSP-headers specificeren welke bronnen scripts, stijlen, afbeeldingen, lettertypen en andere middelen kunnen laden:
eval en soortgelijke gevaarlijke constructies zijn verbodenCSP voorkomt standaard meer dan 90% van de XSS-kwetsbaarheden.
Elke widgetasset (JavaScript, CSS) wordt geleverd met een cryptografische hash. Browsers verifiëren de hash voordat ze de code uitvoeren. Als een aanvaller uw CDN compromitteert of verkeer onderschept, zal de hash niet overeenkomen - browsers weigeren de gemanipuleerde bron te laden.
De widget draait in een geïsoleerde JavaScript-module-scope met beperkte toegang tot de bovenliggende pagina:
localStorage of sessionStorage van de hostZelfs als widgetcode wordt gecompromitteerd, wordt de schade beperkt.
De beveiligingsarchitectuur ondersteunt naleving van: