Sektion 1: Hvorfor bots målretter try-on widgets
Virtuelle try-on widgets er et attraktivt mål for bots, fordi de tilbyder gratis AI-billedgenerering. Et try-on endpoint accepterer et foto og et produktbillede og returnerer et AI-sammensat resultat — set fra en bots perspektiv er dette et gratis, offentligt tilgængeligt AI-billedgenererings-API. Automatiserede scripts kan ramme endpointet tusindvis af gange i timen for at generere produktbilleder, profilbilleder eller syntetiske træningsdata uden omkostninger for angriberen, men med fuld omkostning for dig som forhandler mod dit månedlige loft.
Det økonomiske incitament er betydeligt: Et kvalitets-API til AI-billedgenerering koster typisk $0,05–0,20 pr. billede. Et try-on widget-endpoint uden bot-beskyttelse tilbyder reelt denne tjeneste gratis til enhver, der kan regne anmodningsformatet ud. I stor skala kan en enkelt bot-kampagne opbruge en forhandlers samlede månedlige try-on kvote på få timer, hvilket efterlader rigtige kunder med en forringet service i resten af faktureringsperioden.
Sektion 2: Photta's femlags-forsvarsstak
Photta implementerer fem uafhængige forsvarsmekanismer, der hver især fanger en forskellig angrebsvektor. Lag 1 — hCaptcha: enhver try-on-anmodning skal indeholde en gyldig hCaptcha-token genereret i browseren. Headless bots og automatiserede HTTP-klienter kan ikke løse hCaptcha uden menneskelig interaktion, hvilket blokerer simple script-angreb. Lag 2 — BotD fingerprinting: SDK'et kører BotScore fra FingerprintJS for at detektere headless browsere, automatiserings-frameworks (Puppeteer, Playwright) og mistænkelige browsermiljøer, før kunden overhovedet indsender et foto.
Lag 3 — Domæne-allowlisting: din pk_live_ nøgle accepterer kun anmodninger fra domæner, du registrerer i Indstillinger → Tilladte domæner. Anmodninger fra enhver anden kilde returnerer HTTP 403 med det samme, før nogen AI-behandling finder sted. Lag 4 — IP-ratebegrænsning: mere end 10 try-on-anmodninger pr. minut fra en enkelt IP-adresse udløser automatisk drosling; mere end 30 pr. minut udløser en midlertidig blokering. Lag 5 — Månedligt loft: dit abonnements månedlige try-on grænse (500/2.000/10.000 afhængigt af niveau) er fastlåst på serversiden. Opbruges loftet, stoppes alle try-ons i resten af faktureringsperioden, hvilket forhindrer løbske omkostningsscenarier.
Sektion 3: Overvåg bot-forsøg i dit dashboard
Log ind på business.photta.app og naviger til Sikkerhed. Sikkerhedspanelet viser tre grafer, der opdateres i realtid: Blokerede forsøg (totalt pr. time), Fordeling af blokeringsårsag (hCaptcha-fejl vs. BotD-detekteringer vs. domæne-mismatch vs. rategrænse-udløsere) og Top blokerede IP'er (de IP-adresser, der har genereret flest blokerede anmodninger i de seneste 24 timer). En sund butik viser typisk tæt på nul blokerede forsøg i normale åbningstider.
Sikkerhedspanelet indeholder også en sektion for Anomali-advarsler. Photta's analyselag holder øje med pludselige stigninger i try-on volumen eller blokerede forsøg, der afviger mere end tre standardafvigelser fra din 7-dages baseline. Når en anomali opdages, modtager du en e-mail-notifikation inden for 15 minutter, og advarslen vises i dashboardet. Du kan konfigurere notifikationstærskler under Indstillinger → Notifikationer → Sikkerhedsadvarsler.
Sektion 4: Reagér på mistænkelig aktivitet
Når du ser usædvanlige mønstre i Sikkerhedspanelet — en stigning i blokerede anmodninger, en klynge af forsøg fra ét IP-område eller et pludseligt fald i din månedlige kvote — skal du tage disse skridt i rækkefølge. Først skal du tjekke listen over Top blokerede IP'er. Hvis én eller få IP'er står for de fleste blokerede forsøg, skal du klikke på 'Bloker IP' ud for hver enkelt for permanent at udelukke dem på Photta-laget. Blokeringer træder i kraft med det samme og fortsætter, indtil du manuelt fjerner dem.
For det andet, hvis angrebet bruger flere IP'er (et distribueret botnet), skal du kontakte Photta support via dashboard-chatten med dit forhandler-ID og tidsintervallet for angrebet. Photta's sikkerhedsteam kan anvende en blokering på CIDR-niveau på det angribende undernet inden for få timer. For det tredje, hvis din månedlige kvote er blevet væsentligt udtømt af bot-aktivitet, skal du oprette en supportsag — Photta tilbyder engangs-gendannelse af kvote ved dokumenterede bot-angreb. Vedhæft et screenshot af dit Sikkerhedspanels anomali-advarsel som bevis.
Sektion 5: Hvornår skal man tilføje tilpasset CAPTCHA ovenpå
Photta's indbyggede hCaptcha kører usynligt — de fleste legitime kunder ser aldrig en CAPTCHA-udfordring. I meget sjældne tilfælde (eksklusive butikker, offentligt indekserede widget-endpoints) er de indbyggede forsvarsmekanismer muligvis ikke tilstrækkelige, hvis en sofistikeret angriber bruger menneskelige CAPTCHA-løsningsfarme. I dette scenarie kan du tilføje et ekstra CAPTCHA-lag på dit eget produktsideniveau, før du kalder photta.open(). Verificer din tilpassede CAPTCHA på din server, og send derefter en signeret verifikationstoken til Photta SDK'et som photta.open({ verificationToken: 'din_token' }) for at sikre, at kun verificerede sessioner kan starte en try-on.
Tilpasset CAPTCHA er en sidste udvej for butikker, der har oplevet gentagne sofistikerede angreb. For de allerfleste forhandlere yder Photta's femlags-stak tilstrækkelig beskyttelse uden mærkbar friktion for kunden. Hvis du overvejer, om du skal tilføje et tilpasset lag, så tjek først Fordeling af blokeringsårsag i dit Sikkerhedspanel — hvis hCaptcha-fejl udgør mindre end 1 % af dine samlede blokerede forsøg, fungerer stakken efter hensigten, og et ekstra lag vil blot tilføje friktion uden nævneværdig sikkerhedsgevinst.