Wielowarstwowe zabezpieczenia chronią Twój widget, dane klientów i hostingową witrynę. Polityka bezpieczeństwa treści blokuje XSS. Integralność podzasobów zapobiega manipulacjom. Ograniczanie szybkości zatrzymuje nadużycia. Sandboxowanie izoluje kod widgetu. Nagłówki zabezpieczeń bronią przed powszechnymi atakami.
Bezpieczeństwo nie jest opcjonalne. Kod widgetu działa na stronach skierowanych do klientów z dostępem do wrażliwych interakcji. Nasze podejście obrony w głębokości nakłada wiele zabezpieczeń, zapewniając bezpieczeństwo nawet jeśli jedna warstwa zostanie ominięta.
Nagłówki CSP określają, które źródła mogą ładować skrypty, style, obrazy, czcionki i inne zasoby:
eval i podobne niebezpieczne konstrukcje są zabronioneCSP zapobiega ponad 90% luk XSS domyślnie.
Każdy zasób widgetu (JavaScript, CSS) jest dostarczany z kryptograficznym hashem. Przeglądarki weryfikują hash przed wykonaniem kodu. Jeśli atakujący skompromituje Twój CDN lub przechwyci ruch, hash nie będzie się zgadzał — przeglądarki odmówią załadowania zmanipulowanego zasobu.
Widget działa w izolowanym zakresie modułu JavaScript z ograniczonym dostępem do strony nadrzędnej:
localStorage lub sessionStorage z hostaNawet jeśli kod widgetu zostanie skompromitowany, szkody są ograniczone.
Architektura zabezpieczeń wspiera zgodność z: