Seksjon 1: Hvorfor roboter retter seg mot try-on-widgeter
Virtuelle try-on-widgeter er et attraktivt mål for roboter fordi de gir gratis AI-bildegenerering. Et try-on-endepunkt tar imot et bilde og et produktbilde og returnerer et AI-komponert resultat — sett fra en robots perspektiv er dette et gratis, offentlig tilgjengelig API for AI-bildegenerering. Automatiserte skript kan treffe endepunktet tusenvis av ganger i timen for å generere produktbilder, profilbilder eller syntetiske treningsdata uten kostnad for angriperen, men med full månedlig kostnad for deg som forhandler.
Det økonomiske insentivet er betydelig: Et kvalitets-API for AI-bildegenerering koster vanligvis $0,05–0,20 per bilde. Et try-on-widget-endepunkt uten bot-beskyttelse tilbyr i praksis denne tjenesten gratis til alle som klarer å dekode forespørselsformatet. I stor skala kan en enkelt bot-kampanje tømme en forhandlers hele månedlige try-on-kvote på få timer, noe som etterlater ekte kunder med et redusert tjenestetilbud resten av faktureringsperioden.
Seksjon 2: Phottas fem-lags forsvarspakke
Photta distribuerer fem uavhengige forsvar, der hvert lag fanger opp ulike angrepsvektorer. Lag 1 — hCaptcha: hver try-on-forespørsel må inkludere et gyldig hCaptcha-token generert i nettleseren. Headless-roboter og automatiserte HTTP-klienter kan ikke løse hCaptcha uten menneskelig interaksjon, noe som blokkerer enkle skriptede angrep. Lag 2 — BotD-fingeravtrykk: SDK-en kjører BotScore av FingerprintJS for å oppdage hodeløse nettlesere, automatiseringsrammeverk (Puppeteer, Playwright) og mistenkelige nettlesermiljøer før kunden i det hele tatt sender inn et bilde.
Lag 3 — Domene-hvitelisting: din pk_live_-nøkkel godtar bare forespørsler fra domener du registrerer i Innstillinger → Tillatte domener. Forespørsler fra andre kilder returnerer HTTP 403 umiddelbart, før noen AI-prosessering finner sted. Lag 4 — IP-hastighetsbegrensning: mer enn 10 try-on-forespørsler per minutt fra en enkelt IP-adresse utløser automatisk struping; mer enn 30 per minutt utløser en midlertidig blokkering. Lag 5 — Månedlig tak: din plans månedlige try-on-grense (500/2 000/10 000 avhengig av nivå) er hardt begrenset på serversiden. Når taket er nådd, stoppes alle try-ons for resten av faktureringssyklusen, noe som forhindrer løpske kostnadsscenarier.
Seksjon 3: Overvåk bot-forsøk i dashbordet ditt
Logg inn på business.photta.app og naviger til Sikkerhet. Sikkerhetspanelet viser tre diagrammer som oppdateres i sanntid: Blokkerte forsøk (totalt per time), fordelt blokkeringsårsak (hCaptcha-feil vs. BotD-deteksjoner vs. domene-uoverensstemmelser vs. hastighetsbegrensninger), og Topp blokkerte IP-er (IP-adressene som genererer flest blokkerte forespørsler de siste 24 timene). En sunn butikk viser vanligvis nær null blokkerte forsøk under normal drift.
Sikkerhetspanelet inkluderer også en seksjon for anomali-varsler. Phottas analyselag overvåker plutselige topper i try-on-volum eller blokkerte forsøk som avviker mer enn tre standardavvik fra din 7-dagers basislinje. Når en anomali oppdages, mottar du et e-postvarsel innen 15 minutter, og varselet vises i dashbordet. Du kan konfigurere varslingsterskler under Innstillinger → Varsler → Sikkerhetsvarsler.
Seksjon 4: Svar på mistenkelig aktivitet
Når du ser uvanlige mønstre i sikkerhetspanelet — en økning i blokkerte forespørsler, en klynge av forsøk fra ett IP-område, eller et plutselig fall i din månedlige kvote — bør du utføre disse handlingene i rekkefølge. Først, sjekk listen over topp blokkerte IP-er. Hvis én eller et lite antall IP-er står for de fleste blokkerte forsøkene, klikk på 'Blokker IP' ved siden av hver for å permanent utestenge dem på Photta-nivå. Blokkereringer trer i kraft umiddelbart og vedvarer til du fjerner dem manuelt.
For det andre, hvis angrepet bruker flere IP-er (et distribuert botnett), kontakt Photta-kundestøtte via dashbord-chatten med din forhandler-ID og tidsintervallet for angrepet. Phottas sikkerhetsteam kan legge inn en blokkering på CIDR-nivå for det angripende subnettet innen få timer. For det tredje, hvis din månedlige kvote har blitt betydelig redusert av bot-aktivitet, opprett en supportsak — Photta tilbyr engangs gjenoppretting av kvote for dokumenterte bot-angrep. Legg ved et skjermbilde av sikkerhetspanelets anomali-varsel som bevis.
Seksjon 5: Når du bør legge til tilpasset CAPTCHA i tillegg
Phottas innebygde hCaptcha kjører usynlig — de fleste legitime kunder ser aldri en CAPTCHA-utfordring. I svært sjeldne tilfeller (butikker med høy verdi, offentlig indekserte widget-endepunkter) kan det hende at de innebygde forsvarene ikke er tilstrekkelige hvis en sofistikert angriper bruker menneskelige CAPTCHA-løsningsfarmer. I dette scenariet bør du legge til et andre CAPTCHA-lag på ditt eget produktsidenivå før du kaller photta.open(). Bekreft din tilpassede CAPTCHA på serveren din, og send deretter et signert bekreftelsestoken til Photta SDK som photta.open({ verificationToken: 'ditt_token' }) for å sikre at bare verifiserte økter kan starte en try-on.
Tilpasset CAPTCHA er en siste utvei for butikker som har opplevd gjentatte sofistikerte angrep. For det store flertallet av forhandlere gir Phottas fem-lags pakke tilstrekkelig beskyttelse uten synlig friksjon for kunden. Hvis du vurderer om du skal legge til et tilpasset lag, sjekk først sikkerhetspanelets årsaksfordeling for blokkeringer — hvis hCaptcha-feil utgjør mindre enn 1 % av dine totale blokkerte forsøk, fungerer systemet, og et ekstra lag vil bare tilføre friksjon uten meningsfull sikkerhetsgevinst.