Client-Side Protection & Compliance 是否符合 PCI 标准？

Client-Side Protection & Compliance 解决方案符合 PCI 标准。此外，它还可以助力企业直接满足 2022 年 3 月发布的最新 PCI DSS v4.0 中的要求 6.4.3 和 11.6.1。自 2025 年 3 月起，企业必须遵守这些要求。

Client-Side Protection & Compliance 如何确定我的网站上是否存在有风险的 JavaScript？

Client-Side Protection & Compliance 会在您页面代码的开头部分注入 JavaScript，然后监控所发生的情况，即标注将执行什么操作以及 Web 服务器和客户端之间存在什么风险。

Client-Side Protection & Compliance 是否适用于单页应用程序？

Client-Side Protection & Compliance 适用于从最简单到最复杂的各类网站。

如果我更改了自己的网站，是否必须在 Client-Side Protection & Compliance 中进行任何更新才能让它正常工作？

Client-Side Protection & Compliance 不需要更改通知或进行手动更新。

Client-Side Protection & Compliance

Q: Client-Side Protection & Compliance 是否会收集敏感的个人身份信息 (PII) 或 PCI 数据？

Client-Side Protection & Compliance 不会收集 PII 数据、输入/表单数据、innerHTML（字符串/文本）、与欧盟《通用数据保护条例》相关的数据或支付数据 (PCI DSS)。

Q: 使用 Client-Side Protection & Compliance 是否会导致任何额外的延迟或性能下降？

Akamai 在设计产品时已经考虑到客户的需求——客户不希望有任何的延迟，这对他们的业务至关重要。Client-Side Protection & Compliance 与 Akamai 的其他所有产品一样非常高效，对您的应用程序/网站性能的任何影响都不会降低用户体验。

Q: 浏览器是否会屏蔽 Client-Side Protection & Compliance 功能？

边缘负责将 Client-Side Protection & Compliance 代码作为第一资源注入。此操作是同步完成的，因此 Client-Side Protection & Compliance 代码始终是最先运行的，没有任何网页能够规避此代码运行。这包括可能已损坏的第三方 JavaScript。但是，如果最终用户的浏览器中存在恶意软件（例如，已损坏的扩展程序），则在页面加载之前，该浏览器能够对此页面执行任何操作，包括终止此页面上的所有脚本。在这种情况下，Client-Side Protection & Compliance 便无法保护用户免受攻击，因为它不是最先运行的脚本。对于恶意软件和客户端浏览器，情况始终如此。

守护您的网站安全，防范客户端威胁。轻松符合 PCI DSS v4.0 标准

观看视频 (1:36)

Client-Side Protection & Compliance

守护您的网站安全，防范客户端威胁。轻松符合 PCI DSS v4.0 标准

观看视频 (1:36)

增强网页完整性

Client-Side Protection & Compliance 有助于防范最终用户数据外泄，保护网站免受 JavaScript 威胁侵扰。它会实时分析脚本行为，在单个仪表板视图中提供切实可行的见解，并且会发出告警以抵御有害的脚本活动。该解决方案专为 PCI DSS v4.0 而设计，可助力企业满足新的脚本安全要求并防范客户端攻击。

阅读产品简介

查看参考架构

根除难以发现的客户端威胁

加快实现 PCI DSS v4.0 合规

简化 PCI DSS v4.0 脚本安全要求 6.4.3 和 11.6.1 的工作流。

利用成熟的解决方案实时发现攻击

实现对客户端攻击的全面检测和防御。只需点击一下即可轻松抵御攻击。

揭示恶意代码和漏洞

实时监测您所有脚本中的网络威胁和漏洞。

Client-Side Protection & Compliance 工作原理

设置

将简单脚本注入每个受监控的页面中，同时不会对性能产生明显影响。

评估

监控并评估浏览器的脚本活动，同时机器学习技术会分析发生未授权操作的风险。

告警

在发现活跃威胁或攻击时，获取实时告警，以及有关抵御措施的详尽信息。

缓解

只需点击一下，即可立即阻止恶意脚本访问和泄露受保护页面上的敏感数据。

功能

利用行为检测和保护，实时监控脚本并防范客户端攻击
简化 PCI DSS v4.0 工作流
在边缘或者从源站进行灵活部署

以漏洞治理为核心的策略会持续分析常见漏洞与披露 (CVE) 的 URL
在不泄露敏感数据的情况下，创建并管理策略以应对零日漏洞和重复出现的威胁

用户友好的报告功能，通过其中的仪表板能够一目了然地查看脚本数据以及详细事件报告
优先级清晰的实时安全告警，包含风险评分以及有关如何抵御攻击的见解

Client-Side Protection & Compliance 应用场景

PCI DSS v4.0 合规性

Web 数据窃取和 Magecart 攻击

客户端监测

PCI DSS v4.0 合规性

遵守 PCI DSS v4.0

对于安全团队来说，合规与审计任务是一项沉重的负担。 Client-Side Protection & Compliance 可以帮助他们满足 PCI DSS v4.0（计划于 2025 年 3 月生效）中列明的新客户端安全要求。利用一个简单工具，您可以将受保护支付页面上观察到的所有脚本添加到清单中，证明它们的合理性以及对它们进行监控。同时，您还能够获得切实可行的告警，让安全团队实时了解意图实施篡改和可疑脚本行为的未授权解决方案。

Web 数据窃取和 Magecart 攻击

快速防御客户端攻击

利用浏览器内恶意的或已遭到入侵的 JavaScript 资源，攻击者可实施 Web 数据窃取、表单劫持及 Magecart 攻击，以窃取支付卡数据、用户凭据详细信息或个人身份信息。攻击者会将恶意代码或恶意软件注入网站的敏感支付页面中，以提取和收集个人信息。

这些类型的攻击所造成的数据外泄不仅有损客户信任和品牌忠诚度，还会让企业遭受巨额罚款。

Client-Side Protection & Compliance的行为检测技术可持续分析真实用户会话中的脚本执行行为，以识别可疑或完全恶意的行为，并在通知安全团队时提供具有实际借鉴价值的即时抵御见解。

客户端监测

揭示 JavaScript 漏洞

要想确保 Web 应用程序的安全以避免发生数据泄露，需要企业具备全面的防御及监测能力。虽然很多企业专注于通过 Web 应用程序防火墙 (WAF) 来保护其服务器与最终用户之间的连接，从而防范数据外泄，但客户端活动中不可避免地存在盲点。

Client-Side Protection & Compliance 在客户端上的监测或防御能力远远超过 WAF。它可以对脚本漏洞和行为进行广泛监测，从而助力企业保护敏感信息。

Client-Side Protection & Compliance的高级仪表板让安全团队能够精细地分析可疑行为，并迅速采取措施应对危及支付卡数据和个人身份信息安全的威胁。

常见问题 (FAQ)

Client-Side Protection & Compliance 不会收集 PII 数据、输入/表单数据、innerHTML（字符串/文本）、与欧盟《通用数据保护条例》相关的数据或支付数据 (PCI DSS)。

Akamai 在设计产品时已经考虑到客户的需求——客户不希望有任何的延迟，这对他们的业务至关重要。 Client-Side Protection & Compliance与 Akamai 的其他所有产品一样非常高效，对您的应用程序/网站性能的任何影响都不会降低用户体验。

边缘负责将 Client-Side Protection & Compliance 代码作为第一资源注入。此操作是同步完成的，因此 Client-Side Protection & Compliance 代码始终是最先运行的，没有任何网页能够规避此代码运行。这包括可能已损坏的第三方 JavaScript。但是，如果最终用户的浏览器中存在恶意软件（例如，已损坏的扩展程序），则在页面加载之前，该浏览器能够对此页面执行任何操作，包括终止此页面上的所有脚本。在这种情况下， Client-Side Protection & Compliance 便无法保护用户免受攻击，因为它不是最先运行的脚本。对于恶意软件和客户端浏览器，情况始终如此。

JavaScript 混淆是一系列代码转换，能够将易读的 JavaScript 纯代码变为极其难以理解且难以进行逆向工程的修改版本。这意味着，所有函数和变量名称都会转换为无意义的名称。只有有限的一些对象不会进行混淆处理，例如浏览器原生函数的字符串和对这些函数的调用。作为一种语言，JavaScript 并未内置对一些操作（例如，发出网络请求或与页面的交互）的访问权限。这些操作以原生函数的形式提供，而浏览器会在全局上下文中提供这些函数。由于原生函数名称是浏览器的一部分，因此无法对它们进行混淆处理。

资源

客户端概况信息图

以直观方式了解 Web 数据窃取和第三方 JavaScript 的危害，以及 PCI DSS v4.0 是如何应对这些危害的。

查看信息图

PCI DSS v4.0 JavaScript 安全检查清单

了解 PCI DSS v4.0 中即将生效的要求以及 Client-Side Protection & Compliance 如何能够助力企业满足这些要求。

阅读清单

有疑问吗？

解决问题正是我们的初衷。欢迎随时与我们联络，甚至在您不确定接下来该怎么做时，我们也非常乐意帮忙。当日即可收到专家回复。

安全性

应用程序和 API 安全性

Zero Trust 安全

爬虫程序和滥用防护

基础架构安全

云计算

内容交付

应用程序性能

媒体交付

边缘应用程序

监控、报告和测试

云计算

安全性

内容交付

档案库

Client-Side Protection & Compliance

Client-Side Protection & Compliance

增强网页完整性

根除难以发现的客户端威胁

加快实现 PCI DSS v4.0 合规

利用成熟的解决方案实时发现攻击

揭示恶意代码和漏洞

Client-Side Protection & Compliance 工作原理

设置

评估

告警

缓解

满足您的 PCI DSS v4.0 合规要求

功能

PCI DSS v4.0 合规性

遵守 PCI DSS v4.0

常见问题 (FAQ)

Client-Side Protection & Compliance 是否会收集敏感的个人身份信息 (PII) 或 PCI 数据？

Client-Side Protection & Compliance 是否会收集敏感的个人身份信息 (PII) 或 PCI 数据？

Client-Side Protection & Compliance 是否符合 PCI 标准？

Client-Side Protection & Compliance 是否符合 PCI 标准？

Client-Side Protection & Compliance 如何确定我的网站上是否存在有风险的 JavaScript？

Client-Side Protection & Compliance 如何确定我的网站上是否存在有风险的 JavaScript？

Client-Side Protection & Compliance 是否适用于单页应用程序？

Client-Side Protection & Compliance 是否适用于单页应用程序？

使用 Client-Side Protection & Compliance 是否会导致任何额外的延迟或性能下降？

使用 Client-Side Protection & Compliance 是否会导致任何额外的延迟或性能下降？

如果我更改了自己的网站，是否必须在 Client-Side Protection & Compliance 中进行任何更新才能让它正常工作？

如果我更改了自己的网站，是否必须在 Client-Side Protection & Compliance 中进行任何更新才能让它正常工作？

浏览器是否会屏蔽 Client-Side Protection & Compliance 功能？

浏览器是否会屏蔽 Client-Side Protection & Compliance 功能？

Client-Side Protection & Compliance 如何为 JavaScript 混淆提供支持？

Client-Side Protection & Compliance 如何为 JavaScript 混淆提供支持？

资源

客户端概况信息图

PCI DSS v4.0 JavaScript 安全检查清单

有疑问吗？

感谢您的申请！Akamai 专家将尽快与您联系。

产品

公司

工作机会

新闻编辑室

法律信息及合规性

词汇表