Erste Schritte
Diese Anleitung hilft Ihnen, Noxtica in nur wenigen Minuten in Ihre Webanwendung zu integrieren.
Voraussetzungen
- Ein Noxtica-Konto (Zugang über Kontakt anfragen)
- Ihr Site Key (wird nach der Konto-Einrichtung bereitgestellt)
Schnelle Integration
Sobald Ihr Konto eingerichtet ist und Sie Ihren Site Key haben, fügen Sie unseren Collector zu Ihrem HTML hinzu – das ist die gesamte Installation.
Automatische Erfassung (empfohlen)
Der einfachste Weg, Noxtica zu integrieren, ist es, Noxtica mit dem Einmal-Ausführmodus selbst laufen zu lassen:
<script
src="https://collect.noxtica.com/collector/noxtica.js"
data-site-key="pk_prod_your_site_key_here"
data-auto-init
data-auto-check-once
async
></script>Dies bewirkt:
- Bewertet einen Besucher bei seinem ersten Besuch
- Verwendet dieses Ergebnis für Wiederholungsbesuche innerhalb des Cache-Fensters wieder (Standard: 7 Tage)
- Zeichnet Wiederholungsbesuche still auf, ohne die vollständige Bewertung zu wiederholen
- Koordiniert über offene Tabs, damit ein Besucher nur einmal bewertet wird
Ergebnisse sind verfügbar über:
// Auf Ergebnisse hören
document.addEventListener('noxtica:collected', function (e) {
console.log('Fingerprint collected:', e.detail);
console.log('Risk score:', e.detail.score);
console.log('Risk level:', e.detail.risk_level);
});
// Oder direkt nach der Erfassung zugreifen
console.log(window.noxticaResult);Manuelle Erfassung
Für mehr Kontrolle verwenden Sie die JavaScript-API:
<script src="https://collect.noxtica.com/collector/noxtica.js"></script>
<script>
// Client mit Ihrem Site Key erstellen
const client = NoxticaCollector.createClient({
siteKey: 'pk_prod_your_site_key_here',
});
// Erfassen und in einem Aufruf übermitteln
client.collectAndSubmit().then((result) => {
console.log('Risk score:', result.score);
console.log('Risk level:', result.risk_level);
console.log('Flags:', result.flags);
});
</script>Intelligente Erfassung mit checkOnce()
Für den kleinsten Fußabdruck verwenden Sie checkOnce() – es respektiert das von Ihnen serverseitig konfigurierte Erfassungsintervall, damit Besucher nicht öfter neu bewertet werden als nötig:
const client = NoxticaCollector.createClient({
siteKey: 'pk_prod_your_site_key_here',
});
// Erfasst nur, wenn außerhalb des Check-Intervall-Fensters (Standard: 7 Tage)
// Andernfalls wird ein Besuch aufgezeichnet und das zwischengespeicherte Ergebnis zurückgegeben
const result = await client.checkOnce();
if (result.fromCache) {
console.log('Using cached result, next collection in:', result.nextSubmitIn, 'days');
} else {
console.log('Fresh collection submitted');
}
console.log('Risk level:', result.risk_level);Performance & Auswirkung auf die Seite
Der Collector ist darauf ausgelegt, das Laden der Seite und die für den Nutzer wahrnehmbare Latenz minimal zu beeinflussen:
| Kennzahl | Wert |
|---|---|
| Initiale Skriptgröße | ~167 KB minifiziert, ~55 KB brotli |
| Zeit bis zur Erfassung (Median, fp) | <50 ms auf modernem Desktop / <120 ms auf mittleren Smartphones |
| Zeit bis zur risikobewerteten Antwort | <150 ms Median (Collector-Edge → API-Edge) |
| Gecachter Besuch (nach erstem Laden) | <10 ms (kein Fingerprinting; nur ein Beacon) |
| Main-Thread-Blockierung | Keine – die Erfassung läuft in asynchronen Blöcken |
Wie wir es leicht halten:
async-Skript-Attribut – der Collector lädt im Hintergrund und verzögert nie, bis Ihre Seite sichtbar oder nutzbar wird.- Einmal-Ausführmodus (
data-auto-check-once) – nach der ersten Bewertung senden Wiederholungsbesuche innerhalb des Cache-Fensters nur einen kleinen Besuchs-Ping (~150 Bytes). - Tab-übergreifende Koordination – mehrere offene Tabs werden zu einer einzigen Bewertung zusammengefasst.
- Nach dem ersten Laden gecacht – die manipulationssichere KHAN VM wird vom Browser gecacht und lädt bei späteren Besuchen sofort.
- Hintergrundverarbeitung wo unterstützt, damit die Arbeit dem Main-Thread fernbleibt und Ihre Seite reaktionsfähig bleibt.
Wenn Sie nach dem Hinzufügen des SDK eine Verlangsamung bemerken, erfassen Sie ein Profil mit await client.collectAndSubmit({ telemetry: true }) – das zurückgegebene result.telemetry enthält eine Timing-Aufschlüsselung.
Sandbox vs. Produktion
Sie haben zwei Site Keys: einen für Entwicklung und Staging, einen für die Produktion. Jeder läuft unter eigenen Richtlinien und hält seine Daten vollständig getrennt.
| Aspekt | Sandbox (pk_sand_*) | Produktion (pk_prod_*) |
|---|---|---|
| Site-Key-Präfix | pk_sand_ | pk_prod_ |
| Origin-Allowlist | Localhost + Ihre Staging-Origins | Streng – nur Ihre registrierten Origins |
| Rate-Limit | Großzügig (~1000/min/IP) | Tariflimitierung wird durchgesetzt |
| Risiko-Scoring-Policy | Permissiv – minimales Bot-Blocking | Produktions-Policies angewendet |
| Datenaufbewahrung | 7 Tage | Tenant-Konfiguration (Standard: 90 Tage) |
| Audit-Log-Aufbewahrung | 7 Tage | Tenant-Konfiguration (Standard: 90 Tage) |
| Step-up-MFA | Optional | Erforderlich für destruktive Vorgänge |
Wechseln Sie den Site Key immer je nach Umgebung. Verwenden Sie niemals einen pk_sand_*-Schlüssel im Produktionstraffic – Sandbox-Daten erscheinen nicht in Ihren Produktions-Dashboards und das Risiko-Scoring ist zu nachsichtig. Umgekehrt verbrennt die Verwendung eines pk_prod_*-Schlüssels in der Entwicklung das Produktions-Rate-Limit-Budget.
Ein häufig verwendetes Muster:
<script>
// Schlüssel nach Hostname wählen; im Dev auf Sandbox zurückfallen.
const KEY = location.hostname === 'www.example.com' ? 'pk_prod_REPLACE_ME' : 'pk_sand_REPLACE_ME';
const s = document.createElement('script');
s.src = 'https://collect.noxtica.com/collector/noxtica.js';
s.async = true;
s.dataset.siteKey = KEY;
s.dataset.autoInit = '';
s.dataset.autoCheckOnce = '';
document.head.appendChild(s);
</script>Tag-Manager-Kompatibilität
Der Collector funktioniert in Google Tag Manager, Adobe Launch, Tealium und Segment, ABER mit Einschränkungen:
Empfohlen (bevorzugt): Fügen Sie das Skript direkt zu Ihrem HTML hinzu, unmittelbar vor </body> oder im <head> mit async. So früh wie möglich zu starten gibt dem Collector den besten Vorsprung, damit er bereit ist, wenn ein Besucher interagiert.
Tag-Manager – funktioniert, mit Einschränkungen:
- ✅ Die meisten modernen Tag-Manager (GTM Custom HTML, Adobe Launch Custom Code, Segment Custom Source) laden den Collector erfolgreich.
- ⚠️ Consent-Gates, die Skripte blockieren, bis ein Besucher zustimmt, verzögern die erste Bewertung – in der Regel läuft nichts, bis das Consent-Banner weggeklickt wurde. Das ist das richtige Verhalten; wissen Sie nur, dass es Ihre „Zeit-bis-Entscheidung”-Metriken verzerren kann.
- ⚠️ Einige ältere Tag-Manager lassen benutzerdefinierte
data-*-Attribute weg. Wenndata-site-keydas Skript-Tag nicht erreicht, startet Auto-Init nicht. Richten Sie es stattdessen selbst im Code ein:NoxticaCollector.createClient({ siteKey: 'pk_prod_...' }).checkOnce(); - ❌ Einige stark sandbox-isolierte Tag-Container (selten) verhindern das Starten der manipulationssicheren Laufzeitumgebung. Das SDK arbeitet weiterhin mit einer leichteren Erfassung und gibt eine Konsolenwarnung aus.
Wenn Sie über einen Tag-Manager integrieren müssen, konfigurieren Sie ihn so, dass der Noxtica-Tag bei All Pages — Window Loaded (oder Äquivalent) statt bei DOM Ready feuert – so ist der Consent-Status final, bevor irgendetwas läuft.
Content Security Policy
Wenn Ihre Seite eine Content Security Policy verwendet, müssen Sie Noxtica erlauben, zu laden, seine manipulationssichere Laufzeitumgebung (die KHAN VM) auszuführen und mit unserer API zu kommunizieren. Das folgende Beispiel deckt alle drei ab:
Content-Security-Policy:
default-src 'self';
script-src 'self' 'wasm-unsafe-eval' https://collect.noxtica.com;
connect-src 'self' https://collect.noxtica.com;Wenn die Policy das Token 'wasm-unsafe-eval' weglässt, blockiert der Browser die manipulationssichere Laufzeitumgebung und Sie sehen eine entsprechende Warnung in der Konsole. Noxtica arbeitet weiterhin – es fällt auf eine leichtere Erfassungsform zurück – aber mit schwächerem Manipulationsschutz. Das Hinzufügen des obigen Tokens stellt das vollständige Erlebnis wieder her.
Site Keys
Ihr Site Key (pk_...) ist eine öffentliche Kennung, die Anfragen von Ihrer Domain authentifiziert. Jede Domain, die Sie im Backoffice hinzufügen, erhält einen eindeutigen Site Key.
Wichtige Hinweise:
- Site Keys sind öffentlich und können sicher in Ihr HTML eingebettet werden
- Jeder Site Key ist an einen bestimmten Origin gebunden (z. B.
https://example.com) - Die API lehnt Anfragen ab, deren Origin nicht mit der registrierten Domain des Site Keys übereinstimmt
Konfigurationsoptionen
const client = NoxticaCollector.createClient({
// Ihr Site Key (erforderlich)
siteKey: 'pk_prod_your_site_key_here',
// API-Endpunkt (Standard: Produktion)
apiUrl: 'https://collect.noxtica.com',
// Erfassungsmodus: 'max' (Standard), 'standard' oder 'minimal'
// Auslassen, um den Max-Modus zu verwenden (empfohlen)
// mode: 'standard', // Auskommentieren, um auf max-only-Signale zu verzichten
});Erfassungsmodi
| Modus | Signale | Geeignet für |
|---|---|---|
minimal | Ein kleiner Kernsatz an Signalen | Schnellste Erfassung, kleinster Fußabdruck |
standard | Ein breiter Signalsatz | Seiten, die einen leichteren Signalsatz bevorzugen |
max | Der vollständige Signalsatz | Maximale Genauigkeit (Standard) |
Antwortformat
Nach Erfassung und Übermittlung erhalten Sie:
{
"success": true,
"fingerprintId": "abc123...",
"score": 15,
"risk_level": "minimal",
"confidence": 0.5,
"flags": [],
"details": {
"summary": "Detected 0 risk indicator(s)."
}
}Risikostufen
| Score | Stufe | Bedeutung |
|---|---|---|
| 0–19 | minimal | Sehr geringes Risiko, wahrscheinlich legitim |
| 20–39 | low | Geringes Risiko, geringfügige Anomalien |
| 40–59 | medium | Mittleres Risiko, einige Hinweise |
| 60–79 | high | Hohes Risiko, wahrscheinlich Automatisierung |
| 80–100 | critical | Sehr hohes Risiko, bestätigter Bot |
Authentifizierung
Das SDK authentifiziert jeden Besuch mit kurzlebigen, automatisch rotierten Zugangsdaten, die an Ihren Site Key gebunden sind. Es fordert sie an, erneuert sie und hängt sie an jede Übermittlung an.
Sie müssen nichts davon manuell verwalten – das SDK erledigt das automatisch.
Onboarding-Prozess
- Zugang anfragen: Kontaktieren Sie uns, um eine Demo anzufragen oder zu starten
- Konto-Einrichtung: Wir richten Ihr Tenant-Konto auf der Plattform ein
- Domains hinzufügen: Melden Sie sich im Backoffice an, navigieren Sie zu Domains und fügen Sie Ihre Origins hinzu
- Site Key kopieren: Jede Domain erhält einen eindeutigen Site Key
- Integrieren: Fügen Sie das Skript mit Ihrem Site Key in Ihre Seiten ein
- Überwachen: Betrachten Sie Fingerprints und Analytics im Backoffice-Dashboard
Verwaltung mehrerer Domains
Noxtica unterstützt mehrere Domains pro Konto:
- Production:
https://www.yoursite.com - Staging:
https://staging.yoursite.com - Mobile:
https://m.yoursite.com
Jede Domain hat ihren eigenen Site Key. Sie können:
- Domains aktivieren/deaktivieren, ohne Schlüssel neu zu generieren
- Site Keys bei Kompromittierung rotieren
- Analytics gefiltert nach Domain anzeigen
SDK-Version
Aktuelle SDK-Version: 3.3.0 (Schema: 2026-05-24)
Was ist neu in 3.3.0
- Leichtgewichtige Verhaltenssignale (immer aktiv) – einfache Timing-Hinweise wie die Dauer einer Sitzung und wie schnell ein Besucher zum ersten Mal interagiert. Keine biometrischen Daten und keine Einwilligung der Endnutzer erforderlich.
- Verhaltens-Biometrie (Opt-in) – wenn Sie es unter Backoffice → Einstellungen → Verhaltens-Biometrie aktivieren, analysiert Noxtica auch den Rhythmus von Mausbewegungen, Klick-Timing und Scrollen. Das gilt nach strengen Datenschutzvorschriften als biometrische Daten, daher ist eine ausdrückliche Einwilligung der Endnutzer erforderlich. Siehe Verhaltens-Biometrie unten.
- Apple-Pay-Konsistenzprüfung – bestätigt, dass ein Gerät, das vorgibt ein iPhone zu sein, auch tatsächlich wie eines verhält, und fängt damit einen verbreiteten Spoofing-Trick ab.
- Netzwerk-Fingerprint-Abgleich – erkennt die charakteristischen Verbindungsmuster gängiger Automatisierungstools, sodass Traffic von Skripten und Bots auch dann auffällt, wenn der Browser überzeugend aussieht.
- IP-Reputation – markiert Besucher, die aus Netzwerken mit schlechter Reputation kommen, mit der Option, Ihren eigenen bevorzugten Threat-Intelligence-Feed einzubinden.
Verhaltens-Biometrie (Optional, Opt-in)
Noxtica kann auch den Rhythmus analysieren, wie jemand die Maus bewegt, klickt und scrollt. Es ist ein Opt-in-Feature, standardmäßig deaktiviert.
Warum Opt-in? Diese Art von Verhaltensdaten gilt nach strengen Datenschutzvorschriften als sensible personenbezogene Daten, daher erfordert ihre Erfassung eine ausdrückliche Einwilligung Ihrer Endnutzer. Wir machen es zum Opt-in, damit Sie die Kontrolle darüber behalten, wann und wie es verwendet wird.
So aktivieren Sie es:
- Melden Sie sich im Backoffice an → Einstellungen → Verhaltens-Biometrie
- Prüfen Sie den Compliance-Hinweis mit Ihrem Datenschutz- oder Rechtsteam
- Aktualisieren Sie Ihre Datenschutzerklärung und Ihr Consent-Banner, um diese Erfassung offenzulegen
- Schalten Sie das Feature ein
Sobald aktiviert, berücksichtigt Noxtica diese Verhaltenssignale automatisch bei zukünftigen Bewertungen, und Ihr Dashboard zeigt den resultierenden Verhaltensscore pro Domain.
Nächste Schritte
- Probieren Sie die Live-Demo aus, um Fingerprinting in Aktion zu sehen
- Lesen Sie die Anleitung Backend-Integration für serverseitige Abfragen
- Greifen Sie auf das Dashboard zu, um die erfassten Daten zu erkunden