Sektion 1: Varför bottar riktar in sig på try-on-widgets
Virtuella try-on-widgets är ett attraktivt mål för bottar eftersom de erbjuder gratis generering av AI-bilder. En try-on-slutpunkt tar emot ett foto och en produktbild och returnerar ett AI-komponerat resultat — ur en bots perspektiv är detta ett gratis, offentligt tillgängligt API för AI-bildgenerering. Automatiserade skript kan anropa slutpunkten tusentals gånger i timmen för att generera produktbilder, porträtt eller syntetisk träningsdata utan kostnad för angriparen, men till full kostnad för din månatliga kvot som handlare.
Det ekonomiska incitamentet är betydande: ett högkvalitativt API för AI-bildgenerering kostar vanligtvis $0,05–0,20 per bild. En try-on-slutpunkt utan botskydd erbjuder i praktiken denna tjänst gratis till alla som lyckas dekonstruera anropsformatet. I stor skala kan en enda bot-kampanj tömma en handlares hela månatliga try-on-kvot på några timmar, vilket lämnar riktiga kunder med försämrad tjänst under resten av faktureringsperioden.
Sektion 2: Photta:s femlagers försvarspaket
Photta använder fem oberoende försvar som var och en fångar upp olika attackmetoder. Lager 1 — hCaptcha: varje try-on-förfrågan måste innehålla en giltig hCaptcha-token genererad i webbläsaren. Huvudlösa bottar och automatiserade HTTP-klienter kan inte lösa hCaptcha utan mänsklig interaktion, vilket stoppar enkla skriptattacker. Lager 2 — BotD-fingeravtryck: SDK:n kör BotScore från FingerprintJS för att upptäcka huvudlösa webbläsare, automatiseringsramverk (Puppeteer, Playwright) och misstänkta webbläsarmiljöer innan kunden ens skickar in ett foto.
Lager 3 — Domän-vitlistning: din pk_live_-nyckel accepterar endast anrop från domäner som du registrerar i Inställningar → Tillåtna domäner. Anrop från andra källor returnerar omedelbart HTTP 403 innan någon AI-bearbetning sker. Lager 4 — IP-hastighetsbegränsning: fler än 10 try-on-anrop per minut från en enskild IP-adress utlöser automatisk strypning; fler än 30 per minut utlöser en tillfällig blockering. Lager 5 — Månadstak: din plans månatliga try-on-gräns (500/2 000/10 000 beroende på nivå) har ett hårt tak på serversidan. När taket nås stoppas alla try-ons för resten av faktureringscykeln, vilket förhindrar skenande kostnader.
Sektion 3: Övervaka bot-försök i din instrumentpanel
Logga in på business.photta.app och navigera till Säkerhet. Säkerhetspanelen visar tre diagram som uppdateras i realtid: Blockerade försök (totalt per timme), Nedbrytning av blockeringsorsak (hCaptcha-fel mot BotD-detekteringar mot domänfel mot hastighetsbegränsningar) och Topplistan över blockerade IP-adresser (de IP-adresser som genererat flest blockerade anrop de senaste 24 timmarna). En välmående butik visar vanligtvis nära noll blockerade försök under normala öppettider.
Säkerhetspanelen innehåller också en sektion för anomalilarm. Photta:s analyslager övervakar plötsliga toppar i try-on-volym eller blockerade försök som avviker mer än tre standardavvikelser från din 7-dagars baslinje. När en anomali upptäcks får du ett e-postmeddelande inom 15 minuter och larmet visas i instrumentpanelen. Du kan konfigurera tröskelvärden för aviseringar under Inställningar → Aviseringar → Säkerhetslarm.
Sektion 4: Svara på misstänkt aktivitet
När du ser ovanliga mönster i säkerhetspanelen — en topp i blockerade anrop, ett kluster av försök från ett visst IP-intervall eller ett plötsligt prisfall i din månatliga kvot — vidta dessa åtgärder i ordning. Kontrollera först listan över de mest blockerade IP-adresserna. Om en eller ett fåtal IP-adresser står för de flesta blockerade försöken, klicka på "Blockera IP" bredvid var och en för att permanent blockera dem vid Photta-lagret. Blockeringar träder i kraft omedelbart och kvarstår tills du tar bort dem manuellt.
För det andra, om attacken använder flera IP-adresser (ett distribuerat botnät), kontakta Photta-support via chatten i instrumentpanelen med ditt merchant-ID och tidsintervallet för attacken. Photta:s säkerhetsteam kan tillämpa en blockering på CIDR-nivå för det attackerande undernätet inom några timmar. För det tredje, om din månatliga kvot har tömts avsevärt av bot-aktivitet, öppna ett supportärende — Photta erbjuder en engångsåterställning av kvoten för dokumenterade bot-attacker. Bifoga en skärmdump av din säkerhetspanels anomalilarm som bevis.
Sektion 5: När du bör lägga till anpassad CAPTCHA som ett extra lager
Photta:s inbyggda hCaptcha körs osynligt — de flesta legitima kunder ser aldrig en CAPTCHA-utmaning. I mycket sällsynta fall (butiker med högt värde, offentligt indexerade widget-slutpunkter) kan de inbyggda försvaren vara otillräckliga om en sofistikerad angripare använder mänskliga CAPTCHA-lösningstjänster. I detta scenario kan du lägga till ett andra CAPTCHA-lager på din egen produktsida innan du anropar photta.open(). Verifiera din anpassade CAPTCHA på din server och skicka sedan en signerad verifieringstoken till Photta-SDK:n som photta.open({ verificationToken: 'your_token' }) för att säkerställa att endast verifierade sessioner kan initiera en try-on.
Anpassad CAPTCHA är en sista utväg för butiker som har utsatts för upprepade sofistikerade attacker. För den stora majoriteten av handlare ger Photta:s femlagersförsvar tillräckligt skydd utan synlig friktion för kunden. Om du utvärderar om du ska lägga till ett anpassat lager, kontrollera först nedbrytningen av blockeringsorsaker i din säkerhetspanel — om hCaptcha-fel står för mindre än 1 % av dina totala blockerade försök, fungerar försvaret och ett extra lager skulle bara lägga till friktion utan meningsfull säkerhetsvinst.