Quali sono gli header di sicurezza HTTP?

Question

Accepted Answer

**Gli header di sicurezza HTTP** sono header di risposta che istruiscono i browser a applicare protezioni di sicurezza — aiutando a difendersi da attacchi come XSS, clickjacking e downgrade di protocollo. Rappresentano un livello di difesa facile e prezioso per le applicazioni web.

## Header di sicurezza chiave

```text
CONTENT-SECURITY-POLICY (CSP) → controls what resources/scripts can load/run → a strong
  defense against XSS (restrict script sources; block inline scripts) — the most powerful
STRICT-TRANSPORT-SECURITY (HSTS) → force HTTPS (browser refuses HTTP) → prevents
  downgrade/SSL-stripping attacks
X-CONTENT-TYPE-OPTIONS: nosniff → stop MIME-type sniffing (prevents some attacks)
X-FRAME-OPTIONS / CSP frame-ancestors → prevent CLICKJACKING (block embedding in iframes)
REFERRER-POLICY → control how much referrer info is sent (privacy)
PERMISSIONS-POLICY → control access to browser features (camera, geolocation, etc.)
```

## Esempio

```text
Content-Security-Policy: default-src 'self'; script-src 'self'
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
```

## Perché è importante (difesa in profondità)

```text
✓ EASY to add (configure on the server/proxy) → significant protection for little effort
✓ DEFENSE IN DEPTH → an extra layer (e.g. CSP mitigates XSS even if escaping is missed)
✓ CLICKJACKING protection (X-Frame-Options), forced HTTPS (HSTS), etc.
⚠️ Not a substitute for secure coding (fix the root causes too); CSP needs careful config
→ A valuable, low-effort security improvement for web apps. (Tools/scanners check these.)
```

## Perché è importante

Comprendere gli header di sicurezza HTTP è prezioso perché forniscono **un livello di difesa facile ed efficace per le applicazioni web**, quindi è una conoscenza di sicurezza pratica e utile.

Gli header di sicurezza istruiscono i browser a applicare protezioni contro attacchi comuni, e comprendere i principali è prezioso. **Content-Security-Policy (CSP)** è il più potente — controllando quali risorse e script possono essere caricati ed eseguiti, fornendo una forte difesa contro XSS (mitigandolo anche quando l'escaping dell'output non viene applicato). **Strict-Transport-Security (HSTS)** forza HTTPS, prevenendo attacchi di downgrade e SSL-stripping. **X-Frame-Options** (o CSP frame-ancestors) previene il **clickjacking** bloccando l'incorporamento della pagina in iframe. **X-Content-Type-Options: nosniff**, Referrer-Policy e Permissions-Policy aggiungono ulteriori protezioni.

Comprendere questi header e ciò contro cui proteggono è la conoscenza pratica.

Comprendere il **perché è importante** è il valore chiave: sono **facili da aggiungere** (configurati sul server/proxy) eppure forniscono protezione significativa con poco sforzo, e implementano **difesa in profondità** (livelli extra — ad es. CSP che mitiga XSS anche se un errore di codifica lo consente).

Comprendere l'importante avvertenza che gli **header non sono un sostituto della codifica sicura** (devi comunque correggere le cause radice; CSP richiede una configurazione attenta) riflette una comprensione equilibrata — gli header completano, non sostituiscono, lo sviluppo sicuro.

Gli header di sicurezza sono un miglioramento prezioso e a basso sforzo che molti siti sottoutilizzano, e gli strumenti/scanner comunemente li controllano.

Poiché gli header di sicurezza forniscono difesa facile ed efficace in profondità per le applicazioni web (proteggendo contro XSS, clickjacking, attacchi di downgrade) con poco sforzo, e poiché comprendere i header principali e il loro valore è utile per migliorare la sicurezza delle app web, comprendere gli header di sicurezza HTTP è una conoscenza di sicurezza prezioso e praticamente rilevante — un livello facile, di alto valore nella difesa web (specialmente CSP per XSS e X-Frame-Options per il clickjacking) che completa la codifica sicura, conoscenza utile per rafforzare le applicazioni web.