Documentation

Tout ce que vous devez savoir pour rendre vos produits e-commerce lisibles par les agents IA de shopping.

Démarrage rapide

MerchantStamp fonctionne en trois étapes : lancez un audit gratuit sur l'URL de votre boutique pour obtenir votre score Agent-Readiness. Consultez les recommandations détaillées pour chaque problème identifié. Passez à Silver ou Gold pour que MerchantStamp génère et publie automatiquement les données structurées.

Lancer votre audit gratuit →

Ce que nous analysons

Notre scanner vérifie : le balisage JSON-LD Product (nom, prix, disponibilité, GTIN/SKU, images, avis), les balises OpenGraph et meta, les politiques de livraison et retour lisibles par les machines, les règles robots.txt pour les crawlers IA, la complétude du sitemap.xml, les performances de chargement et la compatibilité mobile.

Comprendre votre score

Votre score Agent-Readiness va de 0 à 100. Au-dessus de 80 : votre boutique est bien optimisée. Entre 50 et 80 : des améliorations significatives sont possibles. En dessous de 50 : les agents IA ne peuvent probablement pas lire vos données produit.

Plans et fonctionnalités

Bronze (gratuit) : audits et recommandations. Silver : génération automatique de JSON-LD, création de flux produits, structuration des pages de politique, et publication en un clic via un snippet JavaScript. Gold : tout Silver plus monitoring continu, mises à jour horaires, alertes de dérive et support prioritaire.

Détail du score

Votre score Agent-Readiness est calculé à partir de ces catégories pondérées :

Données structurées (40%)

Présence, complétude et validité du schéma JSON-LD Product. Inclut les champs obligatoires : nom, prix, disponibilité, images, identifiants (GTIN, SKU).

Découvrabilité (20%)

Règles robots.txt pour les crawlers IA, couverture sitemap.xml, et balises meta (titre, description, URLs canoniques).

Politiques (15%)

Politiques de livraison, retour et confidentialité lisibles par les machines.

Technique (15%)

Vitesse de page, compatibilité mobile, HTTPS et codes HTTP corrects.

Contenu riche (10%)

Avis produits, sections FAQ et contenu structuré additionnel.

Sécurité du snippet Silver

Le plan Silver livre les données structurées sur votre boutique via un loader JavaScript léger. Voici comment nous sécurisons la chaîne depuis nos serveurs jusqu’aux navigateurs de vos visiteurs.

Subresource Integrity (SRI)

Le loader est servi sous forme de fichier externe versionné (silver-loader.v1.js), identique pour tous les marchands. Votre snippet inclut un attribut integrity avec un hash SHA-384. Le navigateur vérifie que le fichier reçu correspond au hash attendu octet par octet avant de l’exécuter. Si le fichier a été altéré en transit (compromission CDN, MITM), le navigateur bloque l’exécution.

<script src="https://merchantstamp.com/js/silver-loader.v1.js"
        data-merchant="votre-slug"
        integrity="sha384-BGNRv9+DlJq1VVvXfI8nN2wKglv3uuGV9xMpS7sXvD8aYw2Sabwpv6l3EsELyOSX"
        crossorigin="anonymous"
        defer></script>

Content Security Policy (CSP)

Si votre site utilise une CSP stricte, ne vous contentez pas d’une simple allowlist de domaines — elles sont souvent contournables. Utilisez plutôt le hash SRI du loader combiné avec strict-dynamic. Cela indique au navigateur : "n’exécute que le script dont le contenu correspond exactement à ce hash, et autorise les scripts qu’il charge dynamiquement". C’est le modèle recommandé par web.dev pour une CSP véritablement stricte.

Content-Security-Policy:
  script-src 'strict-dynamic' 'sha384-BGNRv9+DlJq1VVvXfI8nN2wKglv3uuGV9xMpS7sXvD8aYw2Sabwpv6l3EsELyOSX';
  connect-src 'self' https://merchantstamp.com;
  object-src 'none';
  base-uri 'none';

Sécurité de l’injection de données

Le loader récupère les blocs JSON-LD depuis notre API et les injecte via textContent uniquement — jamais innerHTML. Chaque bloc est encapsulé dans une balise <script type="application/ld+json">, que les navigateurs traitent comme un bloc de données (pas du code exécutable). Même si l’API retournait un payload malveillant, il ne serait pas exécuté. Le risque résiduel se limite à l’intégrité des données SEO, pas au XSS.

Loader versionné

Le nom du fichier loader inclut un numéro de version (v1). Quand nous publions une nouvelle version, les marchands existants restent sur leur version actuelle avec un hash SRI stable — pas de surprise de cache, pas de casse. Vous migrez à votre rythme en mettant à jour le snippet et le hash ensemble.

CORS et réseau

L’endpoint JSON-LD retourne Access-Control-Allow-Origin: * pour que votre boutique puisse récupérer les données en cross-origin. Le loader utilise l’attribut defer pour ne pas bloquer le parsing HTML — il s’exécute après le chargement du DOM.

Limite structurelle

SRI protège le fichier loader, pas la réponse API JSON-LD au runtime. Le payload de l’API est servi via HTTPS et caché en edge (TTL 1 heure) mais n’est pas vérifié par hash côté navigateur. C’est un compromis standard pour tout flux de données dynamiques. Si votre modèle de menaces exige des réponses API signées, contactez-nous pour discuter de la vérification HMAC.

Questions fréquentes

Dois-je installer quelque chose ?

Pour Bronze (audit gratuit), aucune installation nécessaire — entrez simplement votre URL. Pour Silver et Gold, vous ajoutez un petit snippet JavaScript qui charge automatiquement les données structurées.

Quelles plateformes sont supportées ?

MerchantStamp fonctionne avec toute plateforme e-commerce accessible via URL publique : Shopify, WooCommerce, PrestaShop, Magento, BigCommerce, boutiques custom, etc.

À quelle fréquence ma boutique est-elle re-scannée ?

Bronze : scans manuels uniquement. Silver : re-scans hebdomadaires. Gold : monitoring horaire avec alertes en temps réel.

Quels agents IA sont concernés ?

MerchantStamp optimise pour ChatGPT (shopping), Google Gemini, Perplexity, Claude, Microsoft Copilot, et tout futur agent IA lisant les données web structurées.