A segurança em múltiplas camadas protege seu widget, dados de clientes e site de hospedagem. A Política de Segurança de Conteúdo bloqueia XSS. A Integridade de Sub-recurso previne adulterações. A limitação de taxa impede abusos. O sandboxing isola o código do widget. Cabeçalhos de segurança defendem contra ataques comuns.
A segurança não é opcional. O código do widget é executado em suas páginas voltadas para o cliente com acesso a interações sensíveis. Nossa abordagem de defesa em profundidade empilha múltiplas proteções, garantindo segurança mesmo se uma camada for contornada.
Os cabeçalhos CSP especificam quais fontes podem carregar scripts, estilos, imagens, fontes e outros recursos:
eval e construções perigosas semelhantes são proibidasA CSP previne mais de 90% das vulnerabilidades XSS por padrão.
Cada ativo do widget (JavaScript, CSS) é servido com um hash criptográfico. Os navegadores verificam o hash antes de executar o código. Se um atacante comprometer seu CDN ou interceptar o tráfego, o hash não corresponderá - os navegadores se recusam a carregar o recurso adulterado.
O widget é executado em um escopo isolado de módulo JavaScript com acesso limitado à página pai:
localStorage ou sessionStorage do hostMesmo que o código do widget seja comprometido, o dano é contido.
A arquitetura de segurança suporta conformidade com: