Header di Sicurezza HTTP: Riferimento Completo
Header di Sicurezza HTTP: Riferimento Completo
Gli header di sicurezza sono header di risposta HTTP che istruiscono i browser su come comportarsi. Forniscono defense-in-depth contro XSS, clickjacking, MIME sniffing e altro.
Content Security Policy (CSP)
Difesa primaria contro XSS. Direttive: default-src, script-src, style-src, img-src, font-src, connect-src, frame-src, object-src, base-uri, form-action, frame-ancestors, script-src-attr, style-src-attr. Nonce: 'nonce-{random}' per script inline. Hash: 'sha256-{hash}' per inline statici. strict-dynamic: Fiducia script caricati da script fidati. report-only per test. Usa CSP Evaluator.
Strict-Transport-Security (HSTS)
Forza HTTPS. max-age=31536000 (1 anno), includeSubDomains, preload. Preload list: hstspreload.org. Non annullabile facilmente. Test con max-age=300 prima.
X-Frame-Options
Protezione clickjacking. DENY (nessun framing), SAMEORIGIN (solo stessa origine). Deprecato a favore di CSP frame-ancestors. Ancora ampiamente supportato.
X-Content-Type-Options
nosniff: Previene MIME type sniffing. Critico per contenuti caricati utenti. Previene esecuzione file caricati come script.
Referrer-Policy
Controlla informazioni referrer. strict-origin-when-cross-origin (default moderno), no-referrer, no-referrer-when-downgrade, same-origin, origin, origin-when-cross-origin, unsafe-url. Bilancia privacy e analytics.
Permissions-Policy (Feature Policy)
Controlla funzionalità browser: geolocation, camera, microphone, payment, usb, accelerometer, gyroscope, fullscreen, picture-in-picture. Header: Permissions-Policy: geolocation=(), camera=(), microphone=(). Iframe allow attribute:
Cross-Origin-Opener-Policy (COOP)
same-origin: Isola browsing context (niente accesso window.opener). same-origin-allow-popups: Permetti popup ma isola. Richiesto per SharedArrayBuffer, timer alta risoluzione, performance.measureMemory().
Cross-Origin-Embedder-Policy (COEP)
require-corp: Carica solo risorse con header CORP o CORS. credentialless: Carica senza credenziali (immagini cross-origin). Richiesto con COOP per funzionalità potenti.
Cross-Origin-Resource-Policy (CORP)
same-origin: Solo stessa origine può caricare. cross-origin: Permetti cross-origin (con CORS). same-site: Permetti same-site (eTLD+1). Protegge da attacchi tipo Spectre.
Checklist Implementazione
1. CSP: Inizia report-only, raffina, applica. 2. HSTS: max-age breve, test, aumenta, preload. 3. X-Frame-Options: DENY. 4. X-Content-Type-Options: nosniff. 5. Referrer-Policy: strict-origin-when-cross-origin. 6. Permissions-Policy: Restringi feature inutilizzate. 7. COOP/COEP: Abilita per SharedArrayBuffer. 8. CORP: same-origin. 9. Test: SecurityHeaders.com, Observatory by Mozilla. 10. Monitora: CSP report, stato HSTS preload.
Lavoriamo insieme
Hai bisogno di maggiori informazioni, aiuto con il tuo progetto o di sviluppare un'idea?
Che si tratti di una domanda semplice, un dubbio rapido o una chat di 5 minuti, mandami un messaggio—non costa nulla e sono sempre pronto ad aiutare. Mi piace ascoltare per capire il problema, essere creativo nelle soluzioni e puntare a idee semplici, affidabili e non complicate da realizzare rapidamente.
Contattami →