Cside é muito mais simples porque lidamos apenas com arquivos JavaScript, não toda a sua infraestrutura web. Com um WAF, você precisa configurar regras para todo o seu tráfego, gerenciar certificados SSL, lidar com diferentes tipos de conteúdo e se preocupar em quebrar requisições legítimas. Um WAF também não tem sobreposição com o cside, pois um WAF monitora requisições de entrada, não atividade client-side ou respostas do servidor ao client-side. Enquanto alguns fornecedores de WAF injetam Content Security Policies, nós construímos o cside desde o início para abordar a segurança client-side por design e não como uma reflexão tardia. Com o cside, você simplesmente adiciona nosso pacote NPM ou inclui uma única tag de script nas suas páginas e configura quais scripts de terceiros deseja que analisemos. Não há necessidade de reestruturar toda a sua arquitetura web ou gerenciar regras complexas de proxy.
Um CSP fornece segurança suficiente?
CSP é uma excelente camada base para segurança client-side, mas não consegue ver o conteúdo dos scripts. Dependendo das suas necessidades e perfil de risco, pode ou não ser suficiente.
Por que uma Content Security Policy (CSP) não nos torna conformes com PCI?
PCI DSS exige monitoramento de scripts para alterações. CSP pode controlar apenas fontes, não inspecionar payloads, portanto não pode atender requisitos PCI DSS.
Por que vocês oferecem CSP gratuitamente?
Acreditamos fundamentalmente que todo indivíduo e operação deve ser capaz de se proteger, independente dos recursos.
cside pode funcionar junto com meu WAF existente sem conflitos?
Monitoramos uma dimensão completamente diferente da stack de aplicações; portanto, não há interferência.