稳定入口:/sdk/tac.js
长期保留给已经接入的客户和普通业务场景,只进行兼容性更新、安全修复和必要问题修复,不加入页面跳转、广告注入、第三方统计或无关业务采集。
TAC SDK 采用“稳定入口 + 固定版本”的双通道发布机制,既兼容已经接入的客户,也为企业安全审计提供可验证、可回滚、可自托管的接入方式。这里公开 SDK 版本、哈希、SRI、数据采集边界和不采集清单,客户可以自行验证脚本行为。
现有客户无需迁移;有审计要求的客户可以锁定固定版本。
长期保留给已经接入的客户和普通业务场景,只进行兼容性更新、安全修复和必要问题修复,不加入页面跳转、广告注入、第三方统计或无关业务采集。
发布后文件内容不再覆盖,适合安全审计、上线验收、等保检查和企业内控。固定版本适合配合 SHA256 与 SRI 完整性校验。
每个固定版本都公开文件大小、SHA256、SRI、下载地址和更新说明。
发布时间:2026-06-15 · 适合生产接入、安全审计和自托管部署。
ba205a7c6e489486e791f959854a5ee829a9418d221f307e97588d32b2889fdesha384-GADgO9y/ILtitL+sGdQOjeb/QnTN/PLCXjLxbIuSpXFAlbB/dwXYw7k/O2H+1v3P| 版本 | 发布时间 | 文件大小 | SHA256 | SRI | 更新说明 | 下载 |
|---|---|---|---|---|---|---|
| v63 | 2026-06-15 | 156960 bytes | ba205a7c6e489486e791f959854a5ee829a9418d221f307e97588d32b2889fde | sha384-GADgO9y/ILtitL+sGdQOjeb/QnTN/PLCXjLxbIuSpXFAlbB/dwXYw7k/O2H+1v3P | Make application brand display settings effective in the captcha modal. | 下载 |
普通业务继续使用稳定入口;安全审计场景建议使用固定版本加 SRI。
兼容已接入客户,自动获得兼容更新和安全修复。
<script src="https://tac.ptab.cn/sdk/tac.js"></script>适合企业审计。文件被篡改时浏览器会拒绝加载。
<script
src="https://tac.ptab.cn/sdk/tac-v63.js"
integrity="sha384-GADgO9y/ILtitL+sGdQOjeb/QnTN/PLCXjLxbIuSpXFAlbB/dwXYw7k/O2H+1v3P"
crossorigin="anonymous"></script>说明:固定版本文件发布后不覆盖,适合长期写入 SRI。稳定入口 /sdk/tac.js 会持续兼容更新,不建议长期写死 SRI,否则文件更新后浏览器会拒绝加载。
如果企业安全规范不允许加载第三方远程 JS,可以下载 SDK 放到自己的静态资源服务器。
SDK 文件由客户自己托管,验证 API 仍使用 TAC。
<script src="/static/tac/tac-v63.js"></script>
<script>
window.TAC_CONFIG = { apiBase: 'https://tac.ptab.cn' };
</script>SDK 只采集完成人机验证所需的最小信息,并明确说明不做什么。
通过浏览器安全策略限制脚本来源和请求目标,进一步降低远程脚本风险。
按业务实际域名调整;如需自托管 SDK,可把 script-src 改成自己的静态资源域名。
Content-Security-Policy:
script-src 'self' https://tac.ptab.cn;
connect-src 'self' https://tac.ptab.cn;
img-src 'self' data: https://tac.ptab.cn;TAC 支持固定版本、SHA256、SRI、自托管、可读源码和浏览器 DevTools 自查。客户可以自行验证 SDK 行为,而不是只能听平台保证。
公开文件指纹和 SRI,客户可比对下载文件、查看网络请求和浏览器加载结果。
提供固定版本与可读源码,便于企业安全团队在上线前做代码审计和留档。
固定版本不会被覆盖,客户可以持续使用已审计版本,也可以按需升级到新版本。