Moderne webapplicaties worden blootgesteld aan een breed scala aan aanvalsvectoren. Drie van de meest voorkomende zijn Cross-Site Request Forgery (CSRF), Cross-Site Scripting via het ontbreken van Content Security Policy (CSP), en Man-in-the-Middle-aanvallen die mogelijk zijn wanneer HTTPS-Strict-Transport-Security (HSTS) niet correct is geconfigureerd. AI Assistent heeft al deze verdedigingen standaard actief, zonder dat u iets hoeft in te stellen.
CSRF-aanvallen proberen een ingelogde gebruiker te misleiden tot het onbewust uitvoeren van een actie — zoals het wijzigen van instellingen of het goedkeuren van een transactie — door een speciaal geprepareerde link of formulier op een externe website. AI Assistent beschermt elke staatveranderende actie met cryptografisch sterke CSRF-tokens die per sessie en per formulier worden gegenereerd. Een verzoek zonder geldig token wordt direct geweigerd, ongeacht de herkomst.
Content Security Policy (CSP) is een HTTP-header die de browser vertelt welke bronnen zijn toegestaan voor scripts, stijlen, afbeeldingen en andere resources. Een goed geconfigureerde CSP maakt cross-site scripting (XSS) vrijwel onmogelijk, zelfs als een aanvaller erin slaagt kwaadaardige code in een pagina te injecteren. Onze CSP is strict geconfigureerd en laat uitsluitend bekende, vertrouwde domeinen toe. Overtredingen worden gerapporteerd via het CSP reporting endpoint.
HTTP Strict Transport Security (HSTS) instrueert browsers om een domein uitsluitend via HTTPS te benaderen, nooit via onbeveiligd HTTP. Dit verhindert downgrade-aanvallen waarbij een aanvaller probeert de verbinding terug te schakelen naar HTTP om verkeer af te luisteren. Ons HSTS-beleid heeft een maximale max-age en is opgenomen in de HSTS Preload List van browsers, wat de sterkst mogelijke bescherming biedt.