In questo articolo
Cosa sono gli header di sicurezza HTTP?
Gli header di sicurezza HTTP sono intestazioni di risposta che istruiscono i browser su come gestire i contenuti del tuo sito. Formano un livello critico di difesa contro attacchi come XSS, clickjacking e downgrade del protocollo.
Fanno parte della risposta HTTP del server. Non costano nulla, non richiedono modifiche al codice e proteggono tutti i visitatori. OWASP ne raccomanda l'implementazione su ogni sito di produzione.
Come funzionano gli header di sicurezza HTTP
Ogni header controlla un aspetto specifico del comportamento del browser, creando molteplici livelli di protezione.
- Content-Security-Policy (CSP) — definisce fonti attendibili per script, stili e immagini, prevenendo XSS
- Strict-Transport-Security (HSTS) — forza i browser a usare HTTPS, prevenendo attacchi di downgrade
- X-Frame-Options e X-Content-Type-Options — prevengono clickjacking e MIME-sniffing
Prova gratuitamente — nessuna registrazione richiesta
Genera header di sicurezza →Quando configurare gli header di sicurezza
Gli header di sicurezza devono essere configurati su ogni sito di produzione.
- Prevenzione attacchi XSS — CSP è la difesa browser più efficace
- Applicazione HTTPS — HSTS con preload garantisce HTTPS anche alla prima visita
- Requisiti di conformità — PCI DSS, SOC 2 e HIPAA richiedono header di sicurezza
Domande frequenti
Cos'è la modalità report-only di CSP?
Content-Security-Policy-Report-Only invia report di violazione senza bloccare risorse. Permette di testare una nuova policy CSP in produzione.
Come funziona HSTS preload?
HSTS preload è una lista dei produttori di browser che forza l'accesso HTTPS per i domini elencati. Requisiti: header HSTS con max-age minimo un anno, includeSubDomains e direttiva preload.
Come posso testare i miei header di sicurezza?
Usa strumenti come securityheaders.com o Mozilla Observatory. Puoi anche ispezionare gli header nei DevTools del browser nella scheda Rete.