2026-07-14

Header di Sicurezza HTTP: Riferimento Completo

Header di Sicurezza HTTP: Riferimento Completo

Gli header di sicurezza sono header di risposta HTTP che istruiscono i browser su come comportarsi. Forniscono defense-in-depth contro XSS, clickjacking, MIME sniffing e altro.

Content Security Policy (CSP)

Difesa primaria contro XSS. Direttive: default-src, script-src, style-src, img-src, font-src, connect-src, frame-src, object-src, base-uri, form-action, frame-ancestors, script-src-attr, style-src-attr. Nonce: 'nonce-{random}' per script inline. Hash: 'sha256-{hash}' per inline statici. strict-dynamic: Fiducia script caricati da script fidati. report-only per test. Usa CSP Evaluator.

Strict-Transport-Security (HSTS)

Forza HTTPS. max-age=31536000 (1 anno), includeSubDomains, preload. Preload list: hstspreload.org. Non annullabile facilmente. Test con max-age=300 prima.

X-Frame-Options

Protezione clickjacking. DENY (nessun framing), SAMEORIGIN (solo stessa origine). Deprecato a favore di CSP frame-ancestors. Ancora ampiamente supportato.

X-Content-Type-Options

nosniff: Previene MIME type sniffing. Critico per contenuti caricati utenti. Previene esecuzione file caricati come script.

Referrer-Policy

Controlla informazioni referrer. strict-origin-when-cross-origin (default moderno), no-referrer, no-referrer-when-downgrade, same-origin, origin, origin-when-cross-origin, unsafe-url. Bilancia privacy e analytics.

Permissions-Policy (Feature Policy)

Controlla funzionalità browser: geolocation, camera, microphone, payment, usb, accelerometer, gyroscope, fullscreen, picture-in-picture. Header: Permissions-Policy: geolocation=(), camera=(), microphone=(). Iframe allow attribute: