Blog

Gerenciamento de Integridade de Scripts para Marcas de E-commerce (SRI, Scripts Dinâmicos)

Análise aprofundada sobre integridade de scripts vs. Subresource Integrity vs. monitoramento comportamental para conformidade com PCI DSS 6.4.3, 11.6.1, ISO 27001 e HIPAA.

Nov 26, 2025 • 9 min read

Simon Wijckmans Founder & CEO

Verify-Script-Integrity-for-Compliance-Article

O termo "integridade de scripts" aparece em requisitos de conformidade como PCI DSS 4.0.1, ISO 27001, HIPAA e outros frameworks — mas o que esse termo significa na prática e o que é esperado?

Por Que a Integridade de Scripts Importa para Merchants e Empresas de E-commerce

Ativos carregados de terceiros têm origem em fontes externas. Confiar incondicionalmente em uma fonte não é seguro no ambiente dinâmico da internet. Empresas SaaS surgem e desaparecem, e infelizmente muitas não têm um plano de contingência para os domínios que usavam nos ambientes de produção de seus clientes.

Ao longo dos anos, uma série de incidentes afetou consumidores desavisados ao redor do mundo.

Injeções por meio do sequestro de uma fonte de terceiros podem ocorrer de diversas formas.

Engenharia social
Sequestros direcionados a pipelines de CI/CD
Dependências open source maliciosas
Injeções de malware no nível da máquina nos dispositivos dos desenvolvedores
Registro de domínios expirados

Não precisa ser um ataque sofisticado à cadeia de suprimentos — pode começar com um vetor de entrada bastante simples (como um domínio expirado) que abre uma brecha silenciosa para que atacantes manipulem o código em execução no seu site sem que ninguém perceba.

Na próxima vez que seus usuários inserirem informações nas suas páginas, dados sensíveis podem ser coletados por meio de iframes maliciosos sobrepostos a elementos de pagamento (web skimming), cadeias de redirecionamento forçadas, sequestro de cookies de afiliados, entrega de malware no nível do dispositivo ou até exploração de zero-days em navegadores.

Integridade de Scripts: Para Requisitos de Conformidade

Os frameworks de conformidade estão cada vez mais exigindo que as empresas monitorem a integridade e o histórico de alterações dos scripts client-side.

Para PCI DSS 4.0.1: A validação de integridade de scripts é necessária para atender aos requisitos de detecção de mudanças em 6.4.3 e 11.6.1 (Como Cumprir o PCI DSS 6.4.3 e 11.6.1)

Integridade de Scripts: Para Prevenir Ataques Client-side

De acordo com a Mastercard, a principal fonte de skimming de cartões de crédito é o e-skimming, que ocorre no lado do cliente. Scripts comprometidos são uma porta aberta para que atacantes realizem:

Formjacking, ataques Magecart, web skimming, redirecionamentos maliciosos para phishing e outros tipos de ataque que afetaram mais de 380.000 sites em 2025 (Relatório de Ataques Client-side 2025).

Gerenciamento de Integridade de Scripts: Para Empresas de E-commerce

Qualquer merchant que processa um alto volume de transações online é um alvo prioritário para exploração client-side.

Sites modernos de e-commerce carregam dezenas de scripts de terceiros. Os merchants precisam de visibilidade sobre o que esses scripts estão fazendo, quando mudam e se essas mudanças estão alinhadas com o comportamento esperado.

O Que é Integridade de Scripts

Equívocos Sobre o Termo

O termo "integridade de scripts" provavelmente surgiu por priming lexical em relação ao método de gerenciamento "Subresource Integrity" referenciado nos principais frameworks de conformidade. Priming lexical é a reutilização de palavras que você encontrou recentemente — todos fazemos isso.

No entanto, usar a palavra "integridade" de forma isolada pode gerar confusão e está sujeito a interpretações diversas.

O Que Qualifica um Script como Tendo (ou Não) Integridade?

Monitoramento de Comportamento para Integridade de Scripts

Integridade, neste contexto, pode significar "garantir que os scripts não estejam se comportando de forma maliciosa". O problema é que a exfiltração de dados por si só não é um comportamento malicioso, assim como redirecionamentos também não são. Muitos scripts de terceiros fazem isso por razões legítimas, o que torna muito difícil fiscalizar mudanças.

Monitoramento de Alterações de Scripts para Integridade de Scripts

O fator de mudança é o que os frameworks de conformidade mais comumente abordam: garantir que, quando um script muda, essas alterações estejam alinhadas com o uso esperado do script.

O Que é Subresource Integrity (SRI)?

Subresource Integrity (SRI) é uma ferramenta de segurança nativa dos navegadores que permite ao proprietário de um site adicionar um hash a uma diretiva de script em uma aplicação web. O SRI existe desde 2015, quando Google e Mozilla o adotaram em seus navegadores, e foi posteriormente reconhecido pelo w3c em 2016.

Propósito do Subresource Integrity (SRI)

O objetivo do SRI era impedir que recursos estáticos carregados no client-side — como ativos com controle de versão — passassem a se comportar de forma dinâmica de repente. Exemplo: jQuery versão x.

Em sua essência, o SRI aborda o "fator de mudança" verificando se o conteúdo de um script permanece idêntico à sua versão conhecida e confiável.

Por Que o SRI Foi Adicionado ao CSP

Ao longo dos anos, cada vez mais funcionalidades do SRI foram incorporadas às Content Security Policies (CSP). O que levou à pergunta: por que ter os dois? Segurança é uma questão de camadas, então ter opções é positivo. No entanto, a limitação do CSP de não interagir ativamente com o conteúdo dos scripts levou ao próximo passo lógico: considerar a adição de hashes à especificação.

Por um tempo, o CSP confiava apenas em fontes, o que gerou o problema abaixo. Imagine que duas caixas chegam à sua porta. Ambas do mesmo remetente, mas uma contém um filhote de cachorro fofo e a outra uma bomba de glitter.

Me diga pelo endereço do remetente qual é qual?

script-integrity-why-csp-doesnt-work-cside

O argumento aqui é: não confie nas fontes, verifique o conteúdo que elas entregam. É justo dizer que, uma vez que um conteúdo malicioso se origina de uma fonte, essa fonte deixa de ser considerada confiável. Mas para que isso seja acionável, você ainda precisa verificar o que a fonte está fazendo.

O Subresource Integrity Falha na Web Dinâmica de Hoje

Para garantir conteúdo previsível em scripts, o SRI representou um grande avanço. O Subresource Integrity é eficaz para scripts estáticos com controle de versão, mas falha com scripts dinâmicos.

A maioria dos scripts carregados no client-side em 2025 é dinâmica, e por boas razões. Eles adaptam o conteúdo com base na localização geográfica do usuário, tipo de dispositivo, recursos do navegador ou requisitos de personalização. Cada uma dessas mudanças legítimas pode quebrar o hash utilizado pelo SRI.

Combinando SRI com uma Ferramenta de Monitoramento de Scripts Dinâmicos

Com o cside, o SRI pode ser aplicado de forma mais eficaz. O cside detecta scripts estáticos e ajuda a gerar os cabeçalhos SRI para eles. Scripts dinâmicos são tratados de forma diferente, com outros protocolos de segurança, como um mecanismo de inspeção de scripts baseado em IA.

Ferramentas de Scanner Não Conseguem Verificar a Integridade de Scripts

Animação: Mecanismo de Bypass que Evita Crawlers/Scanners Client-side

Scripts client-side são servidos de formas diferentes com base em User Agents, IPs de requisição, países, horário do dia, etc. — qualquer elemento dentro de um cabeçalho de requisição pode resultar em uma resposta diferente do servidor. Não é incomum que um script client-side sirva conteúdos diferentes de forma aleatória.

Por causa dessa variabilidade, abordagens baseadas em scanners não são um método confiável para verificar a integridade de scripts. Atacantes conseguem detectar facilmente quando um crawler ou ferramenta automatizada está solicitando o arquivo. Eles simplesmente servem uma versão limpa ao scanner e entregam o payload malicioso a um subconjunto específico de usuários reais.

Atualizações no Subresource Integrity

Desde o lançamento inicial do SRI, diversas melhorias foram feitas. Uma preocupação comum com o SRI era que, se o hash de um script não correspondesse, o script seria bloqueado, mas nenhuma API de relatório estava disponível — resultando em uma página quebrada sem nenhum alerta para o proprietário do site.

No entanto, com a especificação atualizada de Integrity Policy, isso agora é possível.

O cside contribui para melhorias no SRI

Mais especificações estão sendo propostas para o SRI, e o cside contribuiu com algumas delas. Como membro ativo do w3c (a principal organização que desenvolve padrões para a web), o cside apresentou sugestões para especificações melhores para o gerenciamento dinâmico de hashes de scripts.

No estado atual, hashes de scripts codificados diretamente trazem desafios que a maioria das empresas não pode arcar. Até lá, o SRI pode ser uma ferramenta útil para scripts estáticos ou previsíveis, mas não é a solução completa para garantir a integridade de scripts.

Como Verificar a Integridade de Scripts para Conformidade

Use uma Ferramenta de Segurança Client-side

Embora a definição exata de "integridade de scripts" seja interpretada de forma diferente entre os frameworks, um ponto é amplamente consensual: ferramentas de fornecedores prontas para uso são o caminho mais prático para verificar a integridade de scripts. Desenvolver essas capacidades internamente levaria meses e precisaria de manutenção contínua à medida que os atacantes mudam de técnicas.

Durante nosso webinar recente com a BARR Advisory, o consultor de conformidade Kyle Kofsky foi direto: a recomendação padrão para organizações que estão abordando os requisitos de integridade de scripts do PCI DSS 6.4.3 e 11.6.1 é adotar uma solução de fornecedor homologada.

Use o cside para Verificar a Integridade de Scripts

Com a solução de segurança de scripts do cside, você simplesmente adiciona um script ao seu site e nós monitoramos o comportamento de cada script presente nele. Você obtém um dashboard para entender quais dados cada script acessa, para onde envia esses dados, como esses comportamentos mudaram ao longo do tempo, além de informações sobre a origem do script e se há melhorias de desempenho possíveis.

Essas informações são documentadas automaticamente no formato exigido pelos seus requisitos de conformidade — seja padrões de privacidade como GDPR e CCPA, ou padrões de segurança voltados ao combate de scripts maliciosos como PCI DSS 4.0.1, ISO 27001 e HIPAA. Nossa solução atende e supera esses requisitos e é homologada pelos assessores de maior prestígio do setor. Confira nosso White Paper com a Vikingcloud aqui.

O cside quer tornar a web mais segura. Ao usar nossa solução, você fortalece o time para pressionar os órgãos do setor a permitir mecanismos de segurança mais fáceis e robustos nos navegadores. Somos transparentes sobre as limitações e trabalhamos para tornar o mundo mais seguro. Nossa motivação: proteger nossos amigos e familiares da ansiedade com segurança online e poupar os merchants de precisar aumentar preços para compensar fraudes.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

O SRI é uma solução incrivelmente poderosa, suportada nativamente pelos navegadores. Com o tempo, a comunidade de AppSec no w3c tem feito cada vez mais avanços para torná-lo mais utilizável. O cside contribui ativamente nesse processo, mas, enquanto a especificação não for flexível o suficiente, o cside permite gerenciar os comportamentos dos scripts no navegador por meio de um pequeno script client-side no site. O SRI consegue fixar scripts a conteúdos previsíveis ou estáticos, mas não funciona bem para fontes de terceiros altamente dinâmicas. Infelizmente, scripts client-side são, por design, altamente dinâmicos — e o mercado migrou em grande parte de injetar jQuery via CDN no navegador para usar NPM para injetar dependências open source.

Sim! Na verdade, com o cside o SRI pode ser aplicado de forma mais eficaz. O cside detecta scripts estáticos e ajuda a gerar os cabeçalhos SRI para eles. Essa é uma das muitas funcionalidades oferecidas nativamente pelo cside.

De certa forma pode, mas segurança é uma questão de camadas, então você tem a opção de usar os dois. No cside, nossa maior preocupação é ajudar você a realmente proteger sua aplicação web — por isso incentivamos uma abordagem de segurança em camadas, e é por isso que o cside pode fornecer hashes para uso no SRI.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

Prevenção de account takeover: o playbook completo de 2026

O playbook operativo de ATO para 2026: um modelo integral para login, recuperação, sessão e defesa post-auth contra a apropriação impulsionada por agentes IA e bots.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre scripts de afiliados comprometidos que roubam receita de cassinos

Como Scripts de Afiliados Comprometidos Roubam Receita de Casinos Online

Scripts de afiliados comprometidos redirecionam jogadores e roubam comissões em páginas de casino, de forma silenciosa e em escala.

Capa escura do blog com três vectores de ataque de browser extensions: redirecionamentos para clones de phishing, roubo de token de sessão e reescrita de campos de pagamento no DOM

Como as Browser Extensions Atacam Jogadores de Casinos Online: O Que os Operadores Podem Fazer

As browser extensions roubam tokens de sessão e sequestram pagamentos em casinos. Como detectar estes ataques que os servidores não vêem.

Como Bloquear a Criação de Contas Falsas com IA

Agentes de IA criam contas falsas com comportamento humano que derrota o CAPTCHA. Aprenda os sinais na camada do navegador que expõem os registos automatizados.

Como Bloquear o CCBot (o Crawler de IA da Common Crawl)

O CCBot alimenta os conjuntos de dados da Common Crawl usados para treinar o GPT-3, o BLOOM, o LLaMA e muitos outros modelos de IA. Saiba como bloqueá-lo e o que o bloqueio realmente faz.

Inventário e autorização de scripts PCI DSS 6.4.3: como construir o registro

O fluxo de inventário e autorização de scripts para PCI DSS 6.4.3: quais campos cada registro precisa, quem aprova e uma linha de exemplo para copiar.

Visualização abstrata em azul-escuro de ligações de rede a atravessar um gateway circular

Corrigir o tratamento de timeouts de TLS na Edge da cside

Como a cside melhorou a fiabilidade do TLS na Edge em Rust ao retirar o trabalho de handshake do caminho de accept do Axum e colocá-lo em tasks Tokio limitadas.

Como Bloquear o ClaudeBot no Seu Site

O ClaudeBot rastreia o seu site para treinar os modelos Claude da Anthropic. Eis como bloqueá-lo com robots.txt e intervalos de IP, e o que o bloqueio ainda não cobre.

Como Prevenir a Criação de Contas Falsas: Porque a Deteção na Camada do Navegador Apanha o que a Verificação de Email Não Vê

A verificação de email confirma que uma caixa de correio existe. Não consegue ver o navegador. Eis porque a deteção na camada do navegador apanha contas falsas que ela não vê.

Ataque à cadeia de suprimentos do Polyfill.io: linha do tempo completa, análise e lições (2024–2026)

Uma linha do tempo completa e documentada do ataque à cadeia de suprimentos do Polyfill.io, da venda do domínio em 2024 às sanções contra a Funnull em 2025, e como removê-lo hoje.