Dit artikel kijkt eerlijk naar Cloudflare Page Shield — het product dat Cloudflare in 2026 hernoemde naar Client-Side Security.
Omdat je op de cside website bent, erkennen we onze vooringenomenheid. Toch hebben we onze analyse eerlijk opgebouwd en gebaseerd op openbaar beschikbare informatie, branche-informatie en onze eigen of klantenervaringen. Waar Cloudflare het product oprecht heeft verbeterd, zeggen we dat.
Sommige mensen in het cside-team hebben bij Cloudflare gewerkt en zelfs bijgedragen aan de ontwikkeling van Page Shield. Zelfs als concurrent op sommige gebieden hebben we veel respect voor Cloudflare.
Wil je hun claims zelf verifiëren, bekijk dan hun productpagina's.
Wat er veranderd is: Page Shield heet nu "Client-Side Security"
In 2026 herpositioneerde Cloudflare Page Shield als Client-Side Security, en de wijzigingen zijn meer dan cosmetisch:
- De betaalde add-on (voorheen de Page Shield-add-on) heet nu Client-Side Security Advanced, en Cloudflare heeft hem opengesteld voor self-serve-klanten in plaats van alleen via Enterprise-sales.
- Domeingebaseerde threat intelligence is nu gratis voor alle klanten op de basislaag van Client-Side Security.
- Cloudflare voegde machine-learning-detectie van kwaadaardige scripts toe aan de Advanced-laag, die de daadwerkelijke JavaScript-code analyseert, niet alleen het brondomein.
- "Page Shield policies" heten nu content security rules.
Dit zijn echte verbeteringen, en we hebben de vergelijking hieronder bijgewerkt om ze weer te geven. De belangrijkste conclusie: Cloudflare inspecteert nu de inhoud van scripts, maar het inspecteert nog steeds een opgehaalde, gesamplede kopie — niet wat er daadwerkelijk wordt uitgevoerd in de browsers van je gebruikers. Op dat onderscheid blijft cside verder gaan.
| Criterium | cside | Cloudflare Client-Side Security (Page Shield) | Waarom het belangrijk is | Wat de gevolgen zijn |
|---|---|---|---|---|
| Gebruikte aanpak | Live in-sessie monitoring + server-side AI-payloadanalyse | Gesamplede CSP-rapportage + statische AI-code-analyse (Advanced-laag) | ||
| Monitort 100% van de sessies (geen sampling) | Full support |
No support |
Aanvallen kunnen plaatsvinden tussen samples of alleen voor een deel van de bezoekers | Cloudflare samplet slechts een kleine fractie van het verkeer (~1%); zeldzame of gerichte skimmers blijven ongezien |
| Gedragsdetectie op runtime- en DOM-niveau | Full support |
No support |
Observeert hoe scripts zich daadwerkelijk gedragen terwijl ze worden uitgevoerd, inclusief DOM-wijzigingen | Statische analyse van het opgehaalde bestand mist DOM-gebaseerde aanvallen en aanvallen tijdens uitvoering |
| Detecteert dynamische / gerichte payloads (per gebruiker, tijd, locatie) | Full support |
No support |
Identificeert aanvallen die alleen worden geactiveerd voor sommige gebruikers, tijdstippen of geografieën | Een skimmer die aan 1 op de 1.000 bezoekers wordt geserveerd, verschijnt nooit in een opgehaalde, gesamplede kopie |
| Analyseert het exacte script dat de gebruiker ontving | Full support |
No support |
Stemt de analyse af op wat er echt is uitgevoerd, niet op een apart opgehaalde kopie | Cloudflare downloadt vanaf zijn eigen IP's met andere headers — vaak niet de payload van de gebruiker, en vaak kan het het script helemaal niet ophalen |
| AI- / ML-scriptanalyse | Full support |
Full support (Advanced-laag) |
Detecteert nieuwe bedreigingen via code- en gedragsmodellering, niet alleen via threat feeds | Cloudflare's classifier is alleen op de Advanced-laag beschikbaar en slaat scripts groter dan 300 KB over |
| Volledige payloadanalyse ongeacht scriptgrootte | Full support |
Partial support |
Grote gebundelde scripts komen veel voor, en juist daar verbergen payloads zich | Cloudflare's classifier draait alleen op scripts tot 300 KB |
| Volledige historische tracking & forensics | Full support |
Partial support |
Nodig voor incident response, auditing en compliance | Cloudflare verwijdert resourcegegevens na 30 dagen zonder een nieuw rapport |
| Archiveert de daadwerkelijke payload als bewijs | Full support |
No support |
Auditors en responders hebben de echte aanvalscode nodig, niet alleen een score of een log | Zonder de gearchiveerde payload kun je niet bewijzen wat een aanval daadwerkelijk deed |
| Werkt op elke stack (geen CDN- / WAF-lock-in) | Full support |
No support |
Client-side risico bestaat ongeacht welke CDN of firewall je draait | Cloudflare Client-Side Security vereist dat je je domein via Cloudflare routeert |
| QSA-gevalideerd PCI DSS-dashboard | Full support (VikingCloud) |
Partial support |
Onafhankelijke QSA-validatie is het meest betrouwbare bewijs dat een oplossing aan PCI DSS voldoet | Cloudflare heeft een QSA-toepasbaarheidsgids maar een generieke monitoring-UI, geen PCI-gekoppeld dashboard |
| Ingebouwde PCI-scriptrechtvaardigingsworkflow (6.4.3) | Full support |
No support |
6.4.3 vereist een schriftelijke zakelijke en technische rechtvaardiging voor elk script | Cloudflare exporteert een CSV; teams documenteren en rechtvaardigen elk script handmatig |
| Bruikbare UI voor scriptinventaris & -beheer | Full support |
No support |
Het beoordelen, goedkeuren en rechtvaardigen van elk script vereist een echte werkomgeving, geen data-export | Page Shield toont een lijst; teams houden scripts en goedkeuringen uiteindelijk handmatig bij in spreadsheets |
| Dekt PCI DSS 6.4.3 en 11.6.1 | Full support |
Full support (Advanced-laag) |
Beide adresseren de vereisten; de diepte van het bewijs en de workflow verschilt | Cloudflare's dekking vereist de betaalde Advanced-add-on — de gratis laag is niet voldoende |
| Gratis CSP-rapportage-endpoint | Full support (elk abonnement, inclusief gratis) |
Partial support |
CSP-schendingsrapportage is de basis voor client-side zichtbaarheid | Cloudflare's content security rules zijn beperkt tot 5 en gereserveerd voor Advanced |
| SOC 2 Type II | Full support |
Full support |
Toont consistente operationele beveiligingscontroles over tijd | Een basisvereiste waaraan beide leveranciers voldoen |
| Ticketing-integraties (Linear, Jira) | Full support (Linear en Jira) |
No support |
Native integraties zorgen ervoor dat beveiligingsmeldingen rechtstreeks in bestaande developer-workflows terechtkomen | Zonder native ticketing maken teams handmatig tickets aan, wat de reactietijden vertraagt |
Wat is Cloudflare Client-Side Security (voorheen Page Shield)?
Cloudflare Client-Side Security concurreert uitsluitend met cside's client-side security oplossing en PCI Shield. Andere cside-diensten zoals VPN-detectie, AI-agentdetectie en Privacy Watch vallen buiten hun bereik.
Client-Side Security is Cloudflare's tool voor het monitoren van de third-party JavaScript, verbindingen en cookies die in de browsers van je bezoekers draaien. Het bouwt een inventaris van scripts op, waarschuwt je wanneer ze veranderen of er kwaadaardig uitzien, en stelt je in staat een allowlist af te dwingen via content security rules (CSP). Op de Advanced-laag voegt het machine-learning-analyse van scriptcode en detectie van code-wijzigingen toe.
Is het een goed idee om een client-side beveiligingsoplossing te kopen van een firewall-leverancier?
Grote beveiligingsleveranciers proberen soms snel een bijproduct te lanceren. Ze doen dit omdat ze weten dat hun kopers al gebonden zijn aan het platform — de makkelijke keuze is om de eigen module van de leverancier toe te voegen. Veel teams merken echter dat deze bijproducten niet de aandacht kregen die ze nodig hadden, en vaak voldoen ze niet volledig aan de vereiste. De browser is een fundamenteel ander aanvalsoppervlak dan een netwerkpakket bij een firewall, en het verdient een tool die ervoor gebouwd is.
Cloudflare heeft sinds 2024 wel degelijk echte functionaliteit toegevoegd — ML-code-analyse en meer monitoring. Maar het product gedraagt zich nog steeds als een functie die aan een firewall is vastgeschroefd in plaats van een tool die voor de browser is gebouwd: je moet je domein via Cloudflare routeren om het te gebruiken, de diepste detectie zit achter de betaalde Advanced-add-on, en — zoals we hieronder laten zien — duwt de dagelijkse workflow het daadwerkelijke beveiligings- en compliancewerk terug naar jou.
Hoe Cloudflare Client-Side Security werkt
Cloudflare's detectie draait om een report-only Content Security Policy-header die het toevoegt aan slechts een kleine sample van de responses — in de praktijk in de orde van 1% van het verkeer. Er gebeurt niets totdat een van die gesamplede rapporten terugkomt. Pas dan downloadt Cloudflare het script out-of-band en stuurt het, op de Advanced-laag, door zijn machine-learning- en LLM-scoringspijplijn.
Die downloadstap is waar het model vastloopt. Cloudflare haalt het script op vanaf zijn eigen IP-ranges, met andere request-headers dan de browser van een echte bezoeker — dus de kopie die het scoort is regelmatig niet de payload die een echte gebruiker ontving:
- Het is meestal niet de payload van de gebruiker. Een script dat varieert op basis van cookie, sessie, referrer, geografie of tijdstip serveert de fetcher van Cloudflare iets anders dan wat een gericht slachtoffer krijgt. Een aanvaller hoeft alleen maar een schone versie terug te geven aan de bekende infrastructuur van Cloudflare om echte sessies onopgemerkt te blijven skimmen.
- Vaak kan het het script helemaal niet ophalen. Veel scripts worden geserveerd vanaf single-use of sessiegebonden URL's, of zitten achter headers die de fetcher van Cloudflare niet repliceert. Als het ophalen mislukt, is er simpelweg niets voor de LLM-pijplijn om te analyseren.
- Sampling laat brede blinde vlekken achter. Omdat slechts een kleine fractie van de responses de report-only-header draagt, kunnen pagina's met weinig verkeer en zeldzame, gerichte payloads er lang over doen om naar boven te komen — of ze komen nooit naar boven. Om het zelf te zien: vind een site die het gebruikt, open de developer console van je browser en ververs de pagina meerdere keren.
- De geschiedenis is kortstondig. Cloudflare's eigen documentatie zegt dat het informatie over een eerder gerapporteerde resource verwijdert na 30 dagen zonder een nieuw rapport, en zijn classifier draait alleen op scripts tot 300 KB.
Onder de motorkap leunt de handhaving nog steeds op CSP, dat de oorsprong vertrouwt, niet de inhoud van elke resource. Zoals we uitleggen in Waarom CSP niet werkt:
CSP werkt op een allow-list model, dat resources van vertrouwde domeinen toestaat maar geen individuele scripts of resources van die domeinen kan blokkeren.
Precies dat gat is hoe de grootste client-side aanval van 2024 — Polyfill — werkte: het domein werd vertrouwd, de payload was kwaadaardig.
Tot slot vereist het adopteren van Cloudflare Client-Side Security dat je al een bestaande Cloudflare-klant bent.
Hoe het is om het daadwerkelijk te draaien
Dekking op een functiepagina is één ding; het product daadwerkelijk gebruiken is iets anders. Page Shield toont je een lijst met scripts, maar geeft je geen echte werkomgeving om ze te beheren. Om de inventaris en de schriftelijke rechtvaardigingen te produceren die PCI DSS 6.4.3 vereist, exporteer je een CSV en houd je goedkeuringen, eigenaren en rechtvaardigingen handmatig bij — Cloudflare's eigen QSA-evaluatie vertelt klanten dat ze het scriptsrapport moeten exporteren en de zakelijke en technische rechtvaardiging zelf moeten documenteren. Voor een control die je voortdurend moet aantonen, wordt dat een spreadsheet die je voor altijd onderhoudt.
Leg de detectiegaten en de workflow naast elkaar en het beeld is eerlijk maar weinig flatterend: een verkeerssample van ~1%, een out-of-band fetch die vaak niet de payload van de gebruiker is of helemaal niet kan worden opgehaald, een geheugen van 30 dagen, en een lijst die je in een spreadsheet bijwerkt. Het kan op een checklist lijken op dekking, terwijl het zelden de daadwerkelijke aanval vangt — of het bewijs produceert — wanneer het erop aankomt.
Hoe cside verder gaat
Zowel cside als Cloudflare analyseren nu scriptcode. Het verschil zit in wat we analyseren en hoe volledig.
cside spiegelt elke live gebruikerssessie en observeert hoe scripts zich daadwerkelijk gedragen terwijl ze in de browser draaien — de DOM-wijzigingen die ze aanbrengen, de netwerkaanroepen die ze afvuren en de payloads die ze aan echte bezoekers serveren. Cloudflare scoort een kopie die het apart heeft opgehaald, vanaf zijn eigen datacenter-IP's, op gesamplede basis. Dus wanneer een vertrouwde CDN na 17:00 uur een skimmer begint te serveren aan 1 op de 1.000 gebruikers, ziet cside het in de sessies waarin het daadwerkelijk afvuurt; een opgehaalde, gesamplede kopie bevat het vaak helemaal niet.
Omdat cside's analyse server-side plaatsvindt, is ze onzichtbaar voor aanvallers — ze kunnen onze infrastructuur niet fingerprinten en er een schoon script aan serveren zoals ze dat kunnen bij een voorspelbare crawler.
We bewaren ook een volledige geschiedenis van elke scriptversie die aan je gebruikers is geserveerd en archiveren de daadwerkelijke payload. Wanneer een auditor of incident responder vraagt wat er is gebeurd, heb je de echte aanvalscode en een volledige tijdlijn — niet een score, en niet een rapport dat na 30 dagen is verlopen.
Op het gebied van compliance adresseren beide producten nu PCI DSS 6.4.3 (autoriseer, inventariseer en rechtvaardig elk script op een betaalpagina) en 11.6.1 (detecteer en waarschuw bij ongeautoriseerde wijzigingen aan scripts en beveiligingsrelevante headers). Cloudflare geeft je monitoring en een CSV-export, en laat de schriftelijke rechtvaardigingen en het auditbewijs aan jou over — en alleen op de betaalde Advanced-laag. cside levert een PCI-specifiek dashboard, onafhankelijk gevalideerd door QSA-firma VikingCloud, met één-klik- en AI-ondersteunde scriptrechtvaardiging, zodat de audit trail voor je wordt gegenereerd.
cside bevat ook een gratis CSP-rapportage-endpoint op elk abonnement, inclusief de gratis laag. Je krijgt alles wat Page Shield biedt voor CSP-monitoring, plus live in-sessie- en payloadniveau-bescherming bovenop — en je hoeft je domein niet te verplaatsen naar een specifieke CDN om het te krijgen.
Meld je aan of boek een demo om te beginnen.
Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.
