Este artigo faz uma análise honesta do Cloudflare Page Shield — o produto que a Cloudflare renomeou para Client-Side Security em 2026.
Como está no site da cside, reconhecemos o nosso enviesamento. Dito isto, construímos a nossa argumentação de forma honesta e baseámos a nossa análise em informação publicamente disponível, informação do setor e nas nossas próprias experiências ou nas dos nossos clientes. Onde a Cloudflare melhorou genuinamente o produto, dizemo-lo.
Algumas das pessoas da equipa da cside trabalharam na Cloudflare e até contribuíram para o desenvolvimento do Page Shield. Mesmo sendo concorrentes em algumas áreas, temos a Cloudflare em elevada consideração.
Se quiser verificar as afirmações deles por si próprio, consulte as respetivas páginas de produto.
O que mudou: o Page Shield é agora a "Client-Side Security"
Em 2026 a Cloudflare mudou a marca do Page Shield para Client-Side Security, e as alterações são mais do que cosméticas:
- O complemento pago (anteriormente o Page Shield add-on) é agora o Client-Side Security Advanced, e a Cloudflare disponibilizou-o a clientes em self-serve, em vez de apenas através de vendas Enterprise.
- A threat intelligence baseada em domínios é agora gratuita para todos os clientes no nível base da Client-Side Security.
- A Cloudflare adicionou deteção de scripts maliciosos por machine learning ao nível Advanced, que analisa o código JavaScript propriamente dito, e não apenas o domínio de origem.
- As "policies do Page Shield" chamam-se agora content security rules.
Estas são melhorias reais, e atualizámos a comparação abaixo para as refletir. A conclusão principal: a Cloudflare inspeciona agora o conteúdo dos scripts, mas continua a inspecionar uma cópia obtida e amostrada — não aquilo que efetivamente é executado nos navegadores dos seus utilizadores. É nessa distinção que a cside continua a ir mais longe.
| Critério | cside | Cloudflare Client-Side Security (Page Shield) | Por que é importante | Quais são as consequências |
|---|---|---|---|---|
| Abordagem utilizada | Monitorização ao vivo em sessão + análise de payload por IA no lado do servidor | Relatórios CSP amostrados + análise estática de código por IA (nível Advanced) | ||
| Monitoriza 100% das sessões (sem amostragem) | Full support |
No support |
Os ataques podem disparar entre amostras ou apenas para um subconjunto de visitantes | A Cloudflare amostra apenas uma pequena fração do tráfego (~1%); skimmers raros ou direcionados passam despercebidos |
| Deteção comportamental em runtime e ao nível do DOM | Full support |
No support |
Observa como os scripts efetivamente se comportam durante a execução, incluindo alterações ao DOM | A análise estática do ficheiro obtido deixa escapar ataques baseados no DOM e em tempo de execução |
| Deteta payloads dinâmicos / direcionados (por utilizador, momento, localização) | Full support |
No support |
Identifica ataques que só disparam para alguns utilizadores, momentos ou geografias | Um skimmer servido a 1 em cada 1000 visitantes nunca aparece numa cópia obtida e amostrada |
| Analisa o script exato que o utilizador recebeu | Full support |
No support |
Alinha a análise com o que realmente foi executado, e não com uma cópia obtida separadamente | A Cloudflare descarrega a partir dos seus próprios IPs com cabeçalhos diferentes — frequentemente não é o payload do utilizador, e muitas vezes nem sequer consegue ir buscar o script |
| Análise de scripts por IA / ML | Full support |
Full support (nível Advanced) |
Deteta ameaças novas através da modelação de código e comportamento, e não apenas de feeds de ameaças | O classificador da Cloudflare existe apenas no nível Advanced e ignora scripts com mais de 300 KB |
| Análise completa do payload independentemente do tamanho do script | Full support |
Partial support |
Os scripts grandes e empacotados são comuns, e é onde os payloads se escondem | O classificador da Cloudflare só corre em scripts até 300 KB |
| Rastreio histórico completo e forense | Full support |
Partial support |
Necessário para resposta a incidentes, auditoria e compliance | A Cloudflare elimina os dados do recurso ao fim de 30 dias sem um novo relatório |
| Arquiva o payload propriamente dito como prova | Full support |
No support |
Auditores e responsáveis pela resposta precisam do código real do ataque, e não apenas de uma pontuação ou de um registo | Sem o payload arquivado não consegue provar o que um ataque realmente fez |
| Funciona em qualquer stack (sem lock-in de CDN / WAF) | Full support |
No support |
O risco no lado do cliente existe independentemente do CDN ou da firewall que utilize | A Cloudflare Client-Side Security exige encaminhar o seu domínio através da Cloudflare |
| Painel PCI DSS validado por QSA | Full support (VikingCloud) |
Partial support |
A validação independente por QSA é a prova mais fiável de que uma solução cumpre o PCI DSS | A Cloudflare tem um guia de aplicabilidade QSA mas uma interface de monitorização genérica, não um painel mapeado para o PCI |
| Fluxo de justificação de scripts PCI dentro do produto (6.4.3) | Full support |
No support |
O 6.4.3 exige justificação de negócio e técnica por escrito para cada script | A Cloudflare exporta um CSV; as equipas documentam e justificam cada script manualmente |
| Interface utilizável de inventário e gestão de scripts | Full support |
No support |
Rever, aprovar e justificar cada script exige um verdadeiro espaço de trabalho, e não uma exportação de dados | O Page Shield apresenta uma lista; as equipas acabam por controlar scripts e aprovações à mão em folhas de cálculo |
| Cobre o PCI DSS 6.4.3 e 11.6.1 | Full support |
Full support (nível Advanced) |
Ambos cumprem os requisitos; a profundidade da prova e do fluxo de trabalho difere | A cobertura da Cloudflare precisa do complemento pago Advanced — o nível gratuito não é suficiente |
| Endpoint gratuito de relatórios CSP | Full support (todos os planos, incluindo o gratuito) |
Partial support |
O relatório de violações de CSP é a base da visibilidade no lado do cliente | As content security rules da Cloudflare estão limitadas a 5 e reservadas ao Advanced |
| SOC 2 Type II | Full support |
Full support |
Demonstra controlos de segurança operacional consistentes ao longo do tempo | Um requisito base que ambos os fornecedores cumprem |
| Integrações de ticketing (Linear, Jira) | Full support (Linear e Jira) |
No support |
As integrações nativas permitem que os alertas de segurança fluam para os fluxos de trabalho de desenvolvimento existentes | Sem ticketing nativo, as equipas criam tickets manualmente, atrasando os tempos de resposta |
O que é a Cloudflare Client-Side Security (anteriormente Page Shield)?
A Cloudflare Client-Side Security concorre exclusivamente com a solução de segurança no lado do cliente e o PCI Shield da cside. Outros serviços da cside como a deteção de VPN, a deteção de agentes de IA e o Privacy Watch não estão no seu âmbito.
A Client-Side Security é a ferramenta da Cloudflare para monitorizar o JavaScript de terceiros, as ligações e os cookies que correm nos navegadores dos seus visitantes. Constrói um inventário de scripts, alerta-o quando estes mudam ou parecem maliciosos, e permite-lhe impor uma allowlist através de content security rules (CSP). No nível Advanced acrescenta análise por machine learning do código dos scripts e deteção de alterações ao código.
É boa ideia comprar uma solução de segurança no lado do cliente a um fornecedor de firewall?
Os grandes fornecedores de segurança por vezes tentam lançar um produto secundário à pressa. Fazem-no porque sabem que os seus compradores já estão comprometidos com a plataforma — a escolha fácil é acrescentar o módulo do próprio fornecedor. No entanto, muitas equipas reparam que esses produtos secundários não receberam a atenção de que precisavam e, muitas vezes, não cumprem totalmente o requisito. O navegador é uma superfície de ataque fundamentalmente diferente de um pacote de rede numa firewall, e merece uma ferramenta concebida para isso.
A Cloudflare acrescentou de facto capacidades reais desde 2024 — análise de código por ML e mais monitorização. Mas o produto continua a comportar-se como uma funcionalidade aparafusada a uma firewall, e não como uma ferramenta concebida para o navegador: tem de encaminhar o seu domínio através da Cloudflare para a usar, a deteção mais profunda fica reservada ao complemento pago Advanced e — como vamos mostrar abaixo — o fluxo de trabalho do dia a dia empurra o verdadeiro trabalho de segurança e de compliance de volta para si.
Como funciona a Cloudflare Client-Side Security
A deteção da Cloudflare assenta num cabeçalho Content Security Policy em modo report-only que ela adiciona a apenas uma pequena amostra das respostas — na prática, na ordem de 1% do tráfego. Nada acontece até que um desses relatórios amostrados regresse. Só então a Cloudflare descarrega o script fora de banda e, no nível Advanced, o faz passar pelo seu pipeline de classificação por machine learning e LLM.
É nesse passo de descarregamento que o modelo se desmorona. A Cloudflare vai buscar o script a partir das suas próprias gamas de IP, com cabeçalhos de pedido diferentes dos do navegador de um visitante real — por isso a cópia que classifica frequentemente não é o payload que um utilizador real recebeu:
- Normalmente não é o payload do utilizador. Um script que varia consoante o cookie, a sessão, o referrer, a geografia ou a hora do dia serve ao fetcher da Cloudflare algo diferente daquilo que uma vítima visada recebe. Um atacante só tem de devolver uma versão limpa à infraestrutura conhecida da Cloudflare para continuar a fazer skimming em sessões reais sem ser detetado.
- Muitas vezes nem sequer consegue ir buscar o script. Muitos scripts são servidos a partir de URLs de utilização única ou ligados à sessão, ou ficam atrás de cabeçalhos que o fetcher da Cloudflare não replica. Quando o fetch falha, simplesmente não há nada para o pipeline de LLM analisar.
- A amostragem deixa pontos cegos enormes. Como apenas uma pequena fração das respostas transporta o cabeçalho report-only, páginas de baixo tráfego e payloads raros e direcionados podem demorar muito tempo a aparecer — ou nunca aparecer. Para o ver por si próprio, encontre um site que o use, abra a consola de programador do seu navegador e atualize a página várias vezes.
- O histórico é efémero. A própria documentação da Cloudflare diz que elimina a informação sobre um recurso previamente reportado ao fim de 30 dias sem um novo relatório, e o seu classificador só corre em scripts até 300 KB.
Por baixo, a aplicação ainda se apoia em CSP, que confia na origem, e não no conteúdo de cada recurso. Como explicamos em Why CSP Doesn't Work:
O CSP funciona num modelo de allow-list, que permite recursos de domínios de confiança mas não consegue bloquear scripts ou recursos individuais provenientes desses domínios.
Essa lacuna foi exatamente como funcionou o maior ataque no lado do cliente de 2024 — o Polyfill: o domínio era de confiança, o payload era malicioso.
Por fim, adotar a Cloudflare Client-Side Security exige que seja já cliente da Cloudflare.
Como é operá-la na prática
A cobertura numa página de funcionalidades é uma coisa; operar o produto é outra. O Page Shield mostra-lhe uma lista de scripts, mas não lhe dá um verdadeiro espaço de trabalho para os gerir. Para produzir o inventário e as justificações por escrito que o PCI DSS 6.4.3 exige, exporta um CSV e controla aprovações, responsáveis e justificações à mão — a própria avaliação QSA da Cloudflare diz aos clientes para exportarem o relatório de scripts e documentarem eles próprios a justificação de negócio e técnica. Para um controlo que é suposto evidenciar de forma contínua, isso torna-se uma folha de cálculo que mantém para sempre.
Junte as lacunas de deteção e o fluxo de trabalho e o retrato é honesto mas pouco lisonjeiro: uma amostra de ~1% do tráfego, um fetch out-of-band que frequentemente não é o payload do utilizador ou que nem sequer consegue ser obtido, uma memória de 30 dias e uma lista que reconcilia numa folha de cálculo. Pode parecer cobertura numa checklist enquanto raramente apanha o ataque real — ou produz a prova — no momento em que isso conta.
Como a cside vai mais longe
Tanto a cside como a Cloudflare analisam agora o código dos scripts. A diferença está naquilo que analisamos e com que grau de completude.
A cside espelha cada sessão de utilizador ao vivo e observa como os scripts efetivamente se comportam à medida que correm no navegador — as alterações que fazem ao DOM, as chamadas de rede que disparam e os payloads que servem aos visitantes reais. A Cloudflare classifica uma cópia que foi buscar separadamente, a partir dos IPs do seu próprio datacenter, numa base amostrada. Assim, quando um CDN de confiança começa a servir um skimmer a 1 em cada 1000 utilizadores depois das 17h, a cside vê-o nas sessões em que ele efetivamente dispara; uma cópia obtida e amostrada muitas vezes nem sequer o contém.
Como a análise da cside acontece no lado do servidor, é invisível para os atacantes — não conseguem identificar a impressão digital da nossa infraestrutura e servir-lhe um script limpo, como podem fazer com um crawler previsível.
Também guardamos um histórico completo de cada versão de script servida aos seus utilizadores e arquivamos o payload propriamente dito. Quando um auditor ou um responsável pela resposta a incidentes pergunta o que aconteceu, tem o código real do ataque e uma cronologia completa — não uma pontuação, e não um relatório que expirou ao fim de 30 dias.
Em matéria de compliance, ambos os produtos cumprem agora o PCI DSS 6.4.3 (autorizar, inventariar e justificar cada script da página de pagamento) e 11.6.1 (detetar e alertar sobre alterações não autorizadas a scripts e a cabeçalhos com impacto na segurança). A Cloudflare dá-lhe monitorização e uma exportação em CSV, e deixa-lhe a si as justificações por escrito e a prova de auditoria — e apenas no nível pago Advanced. A cside disponibiliza um painel específico de PCI, validado de forma independente pela empresa QSA VikingCloud, com justificação de scripts com um clique e assistida por IA, de forma a que o registo de auditoria seja gerado por si.
A cside inclui também um endpoint gratuito de relatórios CSP em todos os planos, incluindo o nível gratuito. Obtém tudo o que o Page Shield oferece em monitorização de CSP, mais proteção ao vivo em sessão e ao nível do payload por cima disso — e não tem de mover o seu domínio para um CDN específico para o conseguir.
Crie uma conta ou marque uma demonstração para começar.
Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.
