De meest voorkomende client-side aanvallen zijn creditcard-skimming (zoals Magecart-aanvallen). Maar diefstal van sessietokens via client-side scripts, kwaadaardige redirects of algemene exfiltratie van gevoelige hoogwaardige gegevens nemen toe. Deze aanvallen hebben grote bedrijven getroffen, zoals British Airways en Ticketmaster met meer dan 380.000 gedocumenteerde aanvallen alleen al in 2025 tot nu toe. Client-side aanvallen zijn vaak zeer dynamisch en gericht om detectie te voorkomen. Ze vliegen onder de radar door alleen kwaadaardige payloads te injecteren onder bepaalde omstandigheden. Ze activeren alleen op specifieke tijden, verzoeklocaties of user agents, waardoor ze bijna onmogelijk te detecteren zijn met traditionele beveiligingstools.
Het compromitteren van een third-party dienst waarvan je website afhankelijk is, is een veelvoorkomende manier waarop aanvallers binnenkomen.
Firewalls, WAFs en kwetsbaarhedenscanners zijn traditionele beveiligingstools die worden gebruikt om je server te beschermen, maar ze kunnen niet zien wat er in de browsers van je gebruikers gebeurt.
Server-side beveiliging beschermt je infrastructuur, terwijl client-side beveiliging zich richt op waar je applicatie daadwerkelijk draait, in de browsers van je gebruikers.
Client-side beveiliging is een kritieke subset van AppSec die zich richt op het beschermen van applicaties waar ze daadwerkelijk worden uitgevoerd – in de browsers van gebruikers.