Seu site, intocado
Nosso widget embedável roda dentro de um iframe sandboxed servido a partir de uma origem controlada pela Vectorspace. Pela forma como os browsers aplicam a Same-Origin Policy, o widget não consegue ler o DOM, os cookies ou o local storage da sua página—e não consegue fazer requisições autenticadas em nome dos seus usuários. Mesmo que uma vulnerabilidade fosse descoberta dentro do próprio widget, o modelo de isolamento do browser é projetado para conter o raio de impacto à origem dele—limitando drasticamente o que poderia chegar aos seus usuários ou aos seus dados.
É o mesmo padrão amplamente adotado pelos formulários de pagamento e messengers de suporte embedados em que você já confia em páginas sensíveis: tratar a superfície embedada como não-confiável por padrão e deixar o browser aplicar a fronteira.
Sobre esse isolamento, adicionamos uma Content Security Policy estrita, sanitização do conteúdo renderizado e validação de origem nas chamadas de API. Nada disso é checkbox de marketing—tudo passa por testes de regressão a cada deploy e é verificável no DevTools de qualquer browser.