Scopri di più sulle intestazioni che possono mantenere sicuro il tuo sito e cercare rapidamente i dettagli più importanti.
Questo articolo elenca le intestazioni di sicurezza più importanti che puoi utilizzare per proteggere del tuo sito web. Usalo per comprendere le funzionalità di sicurezza basate sul web e scoprire come implementarle sul tuo sito web e usarle come riferimento quando hai bisogno di un promemoria.
- Intestazioni di sicurezza consigliate per i siti web che gestiscono dati utente sensibili:
- Criterio di sicurezza del contenuto (CSP)
- Tipi di fiducia
- Intestazioni di sicurezza consigliate per tutti i siti web:
- X-Content-Type-Options
- X-Frame-Options
- Criteri delle risorse tra origini (CORP)
- Criterio di apertura multiorigine (COOP)
- HTTP Strict Transport Security (HSTS)
- Intestazioni di sicurezza per i siti web con funzionalità avanzate:
- Condivisione delle risorse tra origini (CORS)
- Norme sull'incorporamento multiorigine (COEP)
Prima di approfondire le intestazioni di sicurezza, scopri le minacce note sul web e perché dovresti utilizzare queste intestazioni di sicurezza.
Proteggi il tuo sito dalle vulnerabilità di inserimento
Le vulnerabilità di injection si verificano quando dati non attendibili elaborati dal tuo un'applicazione può influenzare il suo comportamento e, di solito, portare all'esecuzione di script controllati dall'aggressore. La vulnerabilità più comune causata dall'inserimento di dati I bug sono cross-site di scripting (XSS) in nelle sue varie forme, tra cui riflette XSS, XSS archiviati, Basato su DOM XSS e le altre varianti.
Generalmente, una vulnerabilità XSS può garantire a un utente malintenzionato l'accesso completo ai dati utente trattati dall'applicazione e da eventuali altre informazioni ospitate nello stesso sito web origine.
Le difese tradizionali contro le iniezioni includono un uso coerente dell'evasione automatica sistemi basati su modelli HTML, evitando l'uso di JavaScript pericoloso API ed elaborando correttamente i dati utente tramite l'hosting i caricamenti di file in un dominio separato e la sanificazione del codice HTML controllato dagli utenti.
- Utilizza il Criterio di sicurezza del contenuto (CSP) per stabilire quali script possono essere eseguite dall'applicazione per ridurre il rischio di iniezioni.
- Usa i tipi attendibili per applicare la sanificazione dei dati trasmessi a minacce pericolose API JavaScript.
- Utilizza X-Content-Type-Options per impedire al browser di interpretare erroneamente i tipi MIME delle risorse del sito web, il che può comportare dell'esecuzione dello script.
Isolare il sito da altri siti web
L'apertura del web consente ai siti web di interagire tra loro in modo da può violare le aspettative di sicurezza di un'applicazione. Questo include inaspettatamente effettuare richieste autenticate o incorporare dati da un'altra applicazione il documento dell'aggressore, consentendogli di modificare o leggere i dati dell'applicazione.
Le vulnerabilità più comuni che compromettono l'isolamento web includono: clickjacking, cross-site richiesta di falsificazione (CSRF), cross-site l'inclusione di script (XSSI) e vari fuga di dati tra siti.
- Usa X-Frame-Options per impedire che i documenti vengano incorporati da un sito web dannoso.
- Utilizza i criteri delle risorse multiorigine (CORP) per impedire che il tuo sito web affinché possano essere incluse da un sito web multiorigine.
- Utilizza il Criterio di apertura multiorigine (COOP) per proteggere il tuo sito web dalle interazioni di siti web dannosi.
- Utilizza la condivisione delle risorse tra origini (CORS) per controllare l'accesso ai tuoi da documenti multiorigine.
Post-Spectre sul web Sviluppo è un'ottima lettura se ti interessano queste intestazioni.
Crea un sito web efficace in modo sicuro
Spectre inserisce tutti i dati caricati
nello stesso gruppo di contesto di navigazione potenzialmente leggibile
nonostante il criterio della stessa origine. I browser limitano le funzionalità
che potrebbe sfruttare la vulnerabilità che si cela dietro un ambiente speciale chiamato
"isolamento multiorigine". Con l'isolamento multiorigine, puoi
usano funzionalità potenti come SharedArrayBuffer.
- Utilizza il Criterio per l'incorporamento multiorigine (COEP) insieme a COOP per per abilitare l'isolamento multiorigine.
Cripta il traffico verso il tuo sito
I problemi di crittografia si verificano quando un'applicazione non cripta completamente i dati in il trasporto pubblico, consentendo agli aggressori di intercettare le interazioni dell'utente con l'applicazione.
Una crittografia insufficiente può verificarsi nei seguenti casi: non si utilizza HTTPS,
contenuti misti, impostando cookie senza Secure
attributo
(o __Secure
prefisso),
oppure convalida CORS lenta
della logica.
- Utilizza HTTP Strict Transport Security (HSTS) per gestire in modo coerente i tuoi tramite HTTPS.
Criterio di sicurezza del contenuto (CSP)
Cross-Site Scripting (XSS) è un attacco una vulnerabilità di un sito web per cui è possibile iniettare uno script dannoso eseguito.
Content-Security-Policy fornisce un ulteriore livello per mitigare gli attacchi XSS
limitando gli script che possono essere eseguiti dalla pagina.
Ti consigliamo di abilitare un criterio CSP rigoroso utilizzando uno dei seguenti approcci:
- Se esegui il rendering delle pagine HTML sul server, utilizza un CSP rigoroso nonce basato su nonce.
- Se il codice HTML deve essere pubblicato in modo statico o memorizzato nella cache, ad esempio nel caso di un un'applicazione a pagina singola, utilizza un CSP rigoroso basato su hash.
Esempio di utilizzo: un CSP nonce basato su
Content-Security-Policy:
script-src 'nonce-{RANDOM1}' 'strict-dynamic' https: 'unsafe-inline';
object-src 'none';
base-uri 'none';
Utilizzi consigliati
1. Utilizza un CSP rigoroso nonce basato su {: #nonce-based-csp}
Se esegui il rendering delle pagine HTML sul server, utilizza un CSP rigoroso nonce basato su nonce.
Genera un nuovo valore nonce dello script per ogni richiesta sul lato server e imposta la seguente intestazione:
file di configurazione del server
Content-Security-Policy:
script-src 'nonce-{RANDOM1}' 'strict-dynamic' https: 'unsafe-inline';
object-src 'none';
base-uri 'none';
Per caricare gli script in HTML, imposta l'attributo nonce di tutti
Tag <script> alla stessa stringa {RANDOM1}.
index.html
<script nonce="{RANDOM1}" src="https://example.com/script1.js"></script>
<script nonce="{RANDOM1}">
// Inline scripts can be used with the <code>nonce</code> attribute.
</script>
Google Foto è un buon CSP rigoroso nonce basato su Nonce esempio. Utilizza DevTools per scoprire come vengono utilizzati.
2. Utilizza un CSP rigoroso basato su hash {: #hash-based-csp}
Se il codice HTML deve essere pubblicato in modo statico o memorizzato nella cache, ad esempio se creando un'applicazione a pagina singola, usa un CSP rigoroso basato su hash.
file di configurazione del server
Content-Security-Policy:
script-src 'sha256-{HASH1}' 'sha256-{HASH2}' 'strict-dynamic' https: 'unsafe-inline';
object-src 'none';
base-uri 'none';
Nel codice HTML, dovrai incorporare gli script per poter applicare un prompt basato su hash perché la maggior parte dei browser non supporta l'hashing esterno script.
index.html
<script> ...// your script1, inlined </script> <script> ...// your script2, inlined </script>
Per caricare script esterni, consulta "Caricare dinamicamente gli script originati" sotto Opzione B: intestazione della risposta CSP basata su hash.
CSP Valutatore è un ottimo strumento per Valutare il tuo CSP, ma allo stesso tempo è un buon esempio di CSP rigoroso e basato su nonce. Utilizza DevTools per scoprire come vengono utilizzati.
Browser supportati
Altri aspetti da considerare su CSP
frame-ancestorsprotegge il tuo sito dal clickjacking, un rischio che si presenta se consenti siti non attendibili nei quali incorporare il tuo. Se preferisci una soluzione più semplice, puoi utilizzareX-Frame-Optionsper bloccare il caricamento, maframe-ancestorsrestituisce una configurazione avanzata per consentire solo origini specifiche come incorporatori.- Forse hai utilizzato un CSP per fare in modo che tutte le risorse del tuo sito siano vengono caricati tramite HTTPS. Questo ha diventano meno pertinenti: oggi la maggior parte dei browser contenuti-misti.
- Puoi anche impostare un CSP in modalità solo report .
- Se non riesci a impostare un CSP come intestazione lato server, puoi anche impostarlo come meta del tag. Tieni presente che non puoi utilizzare la modalità solo report per i meta tag (anche se questo potrebbe cambiare).
Scopri di più
Tipi attendibili
Basato sul DOM
XSS (cross-site scripting) è un
attacco per cui dati dannosi vengono passati in un sink che supporta codice dinamico
dei dati, come eval() o .innerHTML.
I tipi di attendibilità offrono gli strumenti per scrivere, verificare la sicurezza e mantenere senza DOM XSS. Possono essere abilitate tramite CSP e rendono Il codice JavaScript è sicuro per impostazione predefinita, limitando l'accettazione delle API web pericolose un oggetto speciale, un tipo affidabile.
Per creare questi oggetti è possibile definire criteri di sicurezza in cui che le regole di sicurezza (come escape o sanitizzazione) vengano applicate in modo coerente prima che i dati vengano scritti nel DOM. Queste norme sono le uniche posizioni nel codice che potrebbe introdurre DOM XSS.
Esempi di utilizzi
Content-Security-Policy: require-trusted-types-for 'script'
// Feature detection
if (window.trustedTypes && trustedTypes.createPolicy) {
// Name and create a policy
const policy = trustedTypes.createPolicy('escapePolicy', {
createHTML: str => {
return str.replace(/\</g, '<').replace(/>/g, '>');
}
});
}
// Assignment of raw strings is blocked by Trusted Types.
el.innerHTML = 'some string'; // This throws an exception.
// Assignment of Trusted Types is accepted safely.
const escaped = policy.createHTML('<img src=x onerror=alert(1)>');
el.innerHTML = escaped; // '&lt;img src=x onerror=alert(1)&gt;'
Utilizzi consigliati
-
Applica i tipi attendibili per i sink DOM pericolosi Intestazione CSP e Tipi di attendibilità:
Content-Security-Policy: require-trusted-types-for 'script'
Attualmente
'script'è l'unico valore accettabile perrequire-trusted-types-for.Naturalmente, puoi combinare i tipi attendibili con altre direttive CSP:
Unione di un CSP nonce basato sopra indicato con i tipi attendibili:
Content-Security-Policy:
script-src 'nonce-{RANDOM1}' 'strict-dynamic' https: 'unsafe-inline';
object-src 'none';
base-uri 'none';
require-trusted-types-for 'script';
<aside class="note"><b>Nota: </b> Puoi limitare i nomi dei criteri di tipi attendibili consentiti impostando un valore aggiuntivo <code>trusted-types</code> (ad esempio, <code>trusted-types myPolicy</code>). Tuttavia, questo non è un requisito. </aside>
-
Definisci un criterio
Norme:
// Feature detection
if (window.trustedTypes && trustedTypes.createPolicy) {
// Name and create a policy
const policy = trustedTypes.createPolicy('escapePolicy', {
createHTML: str => {
return str.replace(/\/g, '>');
}
});
}
-
Applica il criterio
Utilizza il criterio durante la scrittura dei dati nel DOM:
// Assignment of raw strings are blocked by Trusted Types.
el.innerHTML = 'some string'; // This throws an exception.</p>
<p>// Assignment of Trusted Types is accepted safely.
const escaped = policy.createHTML('<img src="x" onerror="alert(1)">');
el.innerHTML = escaped; // '<img src=x onerror=alert(1)>'
Con require-trusted-types-for 'script', l'utilizzo di un tipo attendibile è
requisito. L'utilizzo di API DOM pericolose con una stringa comporterà un
.
Browser supportati
Scopri di più
- Previeni le vulnerabilità di cross-site scripting basate su DOM con Trusted
Tipi
- CSP: request-trusted-types-for - HTTP |
MDN
- CSP: tipi attendibili - HTTP |
MDN
- Demo Tipi di attendibilità: apri DevTools Inspector e verifica
che cosa succede
X-Content-Type-Options
Quando un documento HTML dannoso viene pubblicato dal tuo dominio (ad esempio, se un l'immagine caricata su un servizio di foto contiene un markup HTML valido), alcuni browser lo tratterà come un documento attivo e gli consentirà di eseguire script nel contesto dell'applicazione, generando cross-site scripting .
X-Content-Type-Options: nosniff lo impedisce indicando al browser che
il tipo MIME impostato nell'interfaccia
L'intestazione Content-Type per una determinata risposta è corretta. Questa intestazione è
consigliato per tutte le tue risorse.
Esempio di utilizzo
X-Content-Type-Options: nosniff
Utilizzi consigliati
X-Content-Type-Options: nosniff è consigliato per tutte le risorse fornite da
server insieme all'intestazione Content-Type corretta.
Intestazioni di esempio inviate con un documento HTML
X-Content-Type-Options: nosniff Content-Type: text/html; charset=utf-8
Browser supportati
' d='M96 183a64 64 0 0 1-23-23L17 64a128 128 0 0 0 111 192l55-96a64 64 0 0 1-87 23Z'/%3E%3Cpath fill='url(%23b)' d='M192 128a64 64 0 0 1-9 32l-55 96A128 128 0 0 0 239 64H128a64 64 0 0 1 64 64Z'/%3E%3Ccircle cx='128' cy='128' r='52' fill='%231a73e8'/%3E%3Cpath fill='url(%23c)' d='M96 73a64 64 0 0 1 32-9h111a128 128 0 0 0-222 0l56 96a64 64 0 0 1 23-87Z'/%3E%3C/svg%3E)
' xlink:href='%23A'%3E%3Cstop offset='.76' stop-opacity='0'/%3E%3Cstop offset='.95' stop-opacity='.5'/%3E%3Cstop offset='1'/%3E%3C/radialGradient%3E%3CradialGradient id='F' cx='2523' cy='4680' r='20243' gradientTransform='matrix(-.03715 .99931 -2.12836 -.07913 13579 3530)' xlink:href='%23A'%3E%3Cstop offset='0' stop-color='%2335c1f1'/%3E%3Cstop offset='.11' stop-color='%2334c1ed'/%3E%3Cstop offset='.23' stop-color='%232fc2df'/%3E%3Cstop offset='.31' stop-color='%232bc3d2'/%3E%3Cstop offset='.67' stop-color='%2336c752'/%3E%3C/radialGradient%3E%3CradialGradient id='G' cx='24247' cy='7758' r='9734' gradientTransform='matrix(.28109 .95968 -.78353 .22949 24510 -16292)' xlink:href='%23A'%3E%3Cstop offset='0' stop-color='%2366eb6e'/%3E%3Cstop offset='1' stop-color='%2366eb6e' stop-opacity='0'/%3E%3C/radialGradient%3E%3Cpath id='H' d='M24105 20053a9345 9345 0 01-1053 472 10202 10202 0 01-3590 646c-4732 0-8855-3255-8855-7432 0-1175 680-2193 1643-2729-4280 180-5380 4640-5380 7253 0 7387 6810 8137 8276 8137 791 0 1984-230 2704-456l130-44a12834 12834 0 006660-5282c220-350-168-757-535-565z'/%3E%3Cpath id='I' d='M11571 25141a7913 7913 0 01-2273-2137 8145 8145 0 01-1514-4740 8093 8093 0 013093-6395 8082 8082 0 011373-859c312-148 846-414 1554-404a3236 3236 0 012569 1297 3184 3184 0 01636 1866c0-21 2446-7960-8005-7960-4390 0-8004 4166-8004 7820 0 2319 538 4170 1212 5604a12833 12833 0 007684 6757 12795 12795 0 003908 610c1414 0 2774-233 4045-656a7575 7575 0 01-6278-803z'/%3E%3Cpath id='J' d='M16231 15886c-80 105-330 250-330 566 0 260 170 512 472 723 1438 1003 4149 868 4156 868a5954 5954 0 003027-839 6147 6147 0 001133-850 6180 6180 0 001910-4437c26-2242-796-3732-1133-4392-2120-4141-6694-6525-11668-6525-7011 0-12703 5635-12798 12620 47-3654 3679-6605 7996-6605 350 0 2346 34 4200 1007 1634 858 2490 1894 3086 2921 618 1067 728 2415 728 2952s-271 1333-780 1990z'/%3E%3Cuse fill='url(%23B)' xlink:href='%23H'/%3E%3Cuse fill='url(%23D)' opacity='.35' xlink:href='%23H'/%3E%3Cuse fill='url(%23C)' xlink:href='%23I'/%3E%3Cuse fill='url(%23E)' opacity='.4' xlink:href='%23I'/%3E%3Cuse fill='url(%23F)' xlink:href='%23J'/%3E%3Cuse fill='url(%23G)' xlink:href='%23J'/%3E%3C/svg%3E)
' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.2' stop-color='%239059ff' stop-opacity='0'/%3E%3Cstop offset='.3' stop-color='%238c4ff3' stop-opacity='.1'/%3E%3Cstop offset='.8' stop-color='%237716a8' stop-opacity='.5'/%3E%3Cstop offset='1' stop-color='%236e008b' stop-opacity='.6'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-g' cx='239.1' cy='34.6' r='171.6' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='0' stop-color='%23ffe226'/%3E%3Cstop offset='.1' stop-color='%23ffdb27'/%3E%3Cstop offset='.3' stop-color='%23ffc82a'/%3E%3Cstop offset='.5' stop-color='%23ffa930'/%3E%3Cstop offset='.7' stop-color='%23ff7e37'/%3E%3Cstop offset='.8' stop-color='%23ff7139'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-h' cx='374' cy='-74.3' r='732.2' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.5' stop-color='%23ff980e'/%3E%3Cstop offset='.6' stop-color='%23ff5634'/%3E%3Cstop offset='.7' stop-color='%23ff3647'/%3E%3Cstop offset='.9' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-i' cx='304.6' cy='7.1' r='536.4' gradientTransform='rotate(84 303 4)' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='0' stop-color='%23fff44f'/%3E%3Cstop offset='.1' stop-color='%23ffe847'/%3E%3Cstop offset='.2' stop-color='%23ffc830'/%3E%3Cstop offset='.3' stop-color='%23ff980e'/%3E%3Cstop offset='.4' stop-color='%23ff8b16'/%3E%3Cstop offset='.5' stop-color='%23ff672a'/%3E%3Cstop offset='.6' stop-color='%23ff3647'/%3E%3Cstop offset='.7' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-j' cx='235' cy='98.1' r='457.1' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.5' stop-color='%23ff980e'/%3E%3Cstop offset='.6' stop-color='%23ff5634'/%3E%3Cstop offset='.7' stop-color='%23ff3647'/%3E%3Cstop offset='.9' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-k' cx='355.7' cy='124.9' r='500.3' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.2' stop-color='%23ffe141'/%3E%3Cstop offset='.5' stop-color='%23ffaf1e'/%3E%3Cstop offset='.6' stop-color='%23ff980e'/%3E%3C/radialGradient%3E%3ClinearGradient id='ff-a' x1='446.9' y1='76.8' x2='47.9' y2='461.8' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.1' stop-color='%23ffe847'/%3E%3Cstop offset='.2' stop-color='%23ffc830'/%3E%3Cstop offset='.4' stop-color='%23ff980e'/%3E%3Cstop offset='.4' stop-color='%23ff8b16'/%3E%3Cstop offset='.5' stop-color='%23ff672a'/%3E%3Cstop offset='.5' stop-color='%23ff3647'/%3E%3Cstop offset='.7' stop-color='%23e31587'/%3E%3C/linearGradient%3E%3ClinearGradient id='ff-l' x1='442.1' y1='74.8' x2='102.6' y2='414.3' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.2' stop-color='%23fff44f' stop-opacity='.8'/%3E%3Cstop offset='.3' stop-color='%23fff44f' stop-opacity='.6'/%3E%3Cstop offset='.5' stop-color='%23fff44f' stop-opacity='.2'/%3E%3Cstop offset='.6' stop-color='%23fff44f' stop-opacity='0'/%3E%3C/linearGradient%3E%3C/defs%3E%3Cpath d='M479 166c-11-25-32-52-49-60a249 249 0 0 1 25 73c-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-60 35-81 101-83 134a120 120 0 0 0-66 25 71 71 0 0 0-6-5 111 111 0 0 1-1-58c-25 11-44 29-58 44-9-12-9-52-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73l-1 2-2 15a229 229 0 0 0-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121zM202 355l3 1-3-1zm55-145zm198-31z' fill='url(%23ff-a)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60 14 26 22 53 25 72v1a207 207 0 0 1-206 279c-113-3-212-87-231-197-3-17 0-26 2-40-2 11-3 14-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121z' fill='url(%23ff-b)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60 14 26 22 53 25 72v1a207 207 0 0 1-206 279c-113-3-212-87-231-197-3-17 0-26 2-40-2 11-3 14-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121z' fill='url(%23ff-c)'/%3E%3Cpath d='m362 195 1 1a130 130 0 0 0-22-29C266 92 322 5 331 0c-60 35-81 101-83 134l9-1c45 0 84 25 105 62z' fill='url(%23ff-d)'/%3E%3Cpath d='M257 210c-1 6-22 26-29 26-68 0-80 41-80 41 3 35 28 64 57 79l4 2 7 3a107 107 0 0 0 31 6c120 6 143-143 57-186 22-4 45 5 58 14-21-37-60-62-105-62l-9 1a120 120 0 0 0-66 25l17 16c16 16 58 33 58 35z' fill='url(%23ff-e)'/%3E%3Cpath d='M257 210c-1 6-22 26-29 26-68 0-80 41-80 41 3 35 28 64 57 79l4 2 7 3a107 107 0 0 0 31 6c120 6 143-143 57-186 22-4 45 5 58 14-21-37-60-62-105-62l-9 1a120 120 0 0 0-66 25l17 16c16 16 58 33 58 35z' fill='url(%23ff-f)'/%3E%3Cpath d='m171 151 5 3a111 111 0 0 1-1-58c-25 11-44 29-58 44 1 0 36 0 54 11z' fill='url(%23ff-g)'/%3E%3Cpath d='M18 261a242 242 0 0 0 231 197 207 207 0 0 0 206-279c8 56-20 110-64 146-86 71-169 43-186 31l-3-1c-50-24-71-70-67-110-42 0-57-35-57-35s38-28 89-4c46 22 90 4 90 4 0-2-42-19-58-35l-17-16a71 71 0 0 0-6-5l-5-3c-18-11-52-11-54-11-9-12-9-51-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73c0 1-9 38-5 57z' fill='url(%23ff-h)'/%3E%3Cpath d='M341 167a130 130 0 0 1 22 29 46 46 0 0 1 4 3c55 50 26 121 24 126 44-36 72-90 64-146-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-9 5-65 92 10 167z' fill='url(%23ff-i)'/%3E%3Cpath d='M367 199a46 46 0 0 0-4-3l-1-1c-13-9-36-18-58-15 86 44 63 193-57 187a107 107 0 0 1-31-6 131 131 0 0 1-11-5c17 12 99 39 186-31 2-5 31-76-24-126z' fill='url(%23ff-j)'/%3E%3Cpath d='M148 277s12-41 80-41c7 0 28-20 29-26s-44 18-90-4c-51-24-89 4-89 4s15 35 57 35c-4 40 16 85 67 110l3 1c-29-15-54-44-57-79z' fill='url(%23ff-k)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60a249 249 0 0 1 25 73c-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-60 35-81 101-83 134l9-1c45 0 84 25 105 62-13-9-36-18-58-14 86 43 63 192-57 186a107 107 0 0 1-31-6 131 131 0 0 1-11-5l-3-1 3 1c-29-15-54-44-57-79 0 0 12-41 80-41 7 0 28-20 29-26 0-2-42-19-58-35l-17-16a71 71 0 0 0-6-5 111 111 0 0 1-1-58c-25 11-44 29-58 44-9-12-9-52-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73l-1 2-2 15a279 279 0 0 0-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121zm-24 13z' fill='url(%23ff-l)'/%3E%3C/svg%3E)
' xlink:href='%23s-b'%3E%3Cstop offset='0' stop-color='%2324a5f3' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%231e8ceb' /%3E%3C/radialGradient%3E%3CradialGradient id='s-j' cx='109.3' cy='13.8' r='93.1' gradientTransform='matrix(-.02 1.1 -1.04 -.02 137 -115)' xlink:href='%23s-b'%3E%3Cstop offset='0' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%235488d6' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%235d96eb' /%3E%3C/radialGradient%3E%3C/defs%3E%3Crect width='220' height='220' x='22' y='-107' fill='url(%23s-a)' ry='49' transform='matrix(.57 0 0 .57 187 256)' /%3E%3Cg transform='translate(194 190)'%3E%3Ccircle cx='67.8' cy='67.7' fill='url(%23s-c)' paint-order='stroke fill markers' r='54' /%3E%3Ccircle cx='-69.9' cy='69.3' fill='url(%23s-i)' transform='translate(138 -2)' r='54' /%3E%3C/g%3E%3Cellipse cx='120' cy='14.2' fill='url(%23s-j)' rx='93.1' ry='93.7' transform='matrix(.58 0 0 .58 192 250)' /%3E%3Cg transform='matrix(.58 0 0 .57 197 182)'%3E%3Cpath fill='%23cac7c8' d='M46 192h1l72-48-7-9-66 57Z' /%3E%3Cpath fill='%23fbfffc' d='M46 191v1l66-57-7-9-59 65Z' /%3E%3Cpath fill='url(%23s-d)' d='m119 144-7-9 66-57-59 66Z' /%3E%3Cpath fill='%23fb645c' d='m105 126 7 9 66-57-1-1-72 49Z' /%3E%3C/g%3E%3Cpath stroke='%23fff' stroke-linecap='round' stroke-miterlimit='1' stroke-width='1.3' d='m287 278 3-2m-12-17 8-2m-8-3h4m-4-13 8 2m-8 3h4m-1-13 7 3m-4-11 7 4m-2-11 6 6m0-12 6 7m1-11 4 6m4-10 3 7m5-9 2 7m15-7-1 7m10-5-3 7m11-4-4 7m11-2-5 6m16 7-7 4m10 4-7 3m10 6-8 1m8 16-8-2m5 10-7-3m4 11-7-4m2 11-6-5m0 11-5-6m-2 11-4-7m-4 11-3-8m-6 10-1-8m-16 8 2-8m-10 5 3-7m-11 4 4-7m-11 2 5-6m-8 3 3-3m4 8 2-3m5 8 2-4m6 7 1-4m8 5v-4m8 4v-4m9 3-1-4m9 1-2-4m9 0-2-4m9-2-3-3m8-4-3-2m8-5-4-2m7-6-4-1m5-8h-4m4-8h-4m3-9-4 1m1-9-4 2m-1-9-3 2m-2-9-3 3m-4-8-2 3m-5-8-2 4m-6-6-1 3m-8-5v4m-8-4v4m-9-2 1 3m-9 0 2 3m-9 1 2 3m-9 2 3 3m-8 4 3 2m-8 5 4 2m-7 6 4 1m-4 25 4-1m-2 5 7-3m-6 7 4-2m-2 6 7-4m-13-21h8m41-41v-8m0 99v-8m49-42h-8' transform='translate(-65 8)' /%3E%3C/svg%3E)
Scopri di più
X-Frame-Options
Se un sito web dannoso può incorporare il tuo sito come iframe, ciò potrebbe consentire gli utenti malintenzionati richiamano azioni indesiderate da parte dell'utente con clickjacking. Inoltre, in alcune custodie Spectre-type attacchi informatici siti web dannosi la possibilità di venire a conoscenza dei contenuti di un documento incorporato.
X-Frame-Options indica se un browser deve essere autorizzato o meno a eseguire il rendering
una pagina in <frame>, <iframe>, <embed> o <object>. Tutti i documenti
si consiglia di inviare questa intestazione per indicare se consentono
incorporati da altri documenti.
Esempio di utilizzo
X-Frame-Options: DENY
Utilizzi consigliati
Tutti i documenti che non sono progettati per essere incorporati devono utilizzare l'intestazione X-Frame-Options.
Puoi provare a in che modo le seguenti configurazioni influiscono sul caricamento di un iframe su questo
una demo. Cambia X-Frame-Options
e fai clic sul pulsante Ricarica l'iframe.
Protezione del tuo sito web dall'incorporamento in altri siti web
Negare l'incorporamento da parte di altri documenti.
X-Frame-Options: DENY
Protezione del tuo sito web dall'incorporamento in siti web multiorigine
Consenti l'incorporamento solo da documenti della stessa origine.
X-Frame-Options: SAMEORIGIN
Browser supportati
Scopri di più
Criterio delle risorse tra origini (CORP)
Un utente malintenzionato può incorporare risorse di un'altra origine, ad esempio dal tuo sito, di acquisirne informazioni sfruttando le funzionalità basate sul web cross-site di fughe di notizie.
Cross-Origin-Resource-Policy riduce questo rischio indicando l'insieme di
siti web da cui può essere caricato. L'intestazione assume uno dei tre valori seguenti:
same-origin, same-site e cross-origin. Tutte le risorse sono
ti consigliamo di inviare questa intestazione per indicare se consentono il caricamento da parte di
altri siti web.
Esempio di utilizzo
Cross-Origin-Resource-Policy: same-origin
Utilizzi consigliati
È consigliabile che tutte le risorse vengano pubblicate con uno dei seguenti elementi tre intestazioni.
Puoi provare a come le seguenti configurazioni influiscono sul caricamento delle risorse in un
Ambiente Cross-Origin-Embedder-Policy: require-corp su questo
una demo. Cambia il
Cross-Origin-Resource-Policy e fai clic sul pulsante Ricarica il
iframe o il pulsante Ricarica l'immagine per vedere l'effetto.
Consenti il caricamento delle risorse cross-origin
È consigliabile applicare cross-origin alle risorse per i servizi simili a CDN
(poiché vengono solitamente caricati da pagine multiorigine), a meno che non siano già pubblicati
tramite CORS, che ha un effetto simile.
Cross-Origin-Resource-Policy: cross-origin
Limita il caricamento delle risorse da same-origin
same-origin deve essere applicato alle risorse destinate solo a essere caricate
da pagine della stessa origine. Devi applicarlo alle risorse che includono dati sensibili
informazioni sull'utente o risposte di un'API che devono essere chiamate
solo dalla stessa origine.
Tieni presente che le risorse con questa intestazione possono comunque essere caricate direttamente, ad ad esempio accedendo all'URL in una nuova finestra del browser. Risorsa tra origini Il criterio protegge la risorsa solo dall'incorporamento in altri siti web.
Cross-Origin-Resource-Policy: same-origin
Limita il caricamento delle risorse da same-site
Ti consigliamo di applicare same-site a risorse simili a quelle riportate sopra
ma che sono destinati a essere caricati da altri sottodomini del tuo sito.
Cross-Origin-Resource-Policy: same-site
Browser supportati
Scopri di più
Policy di apertura multiorigine (COOP)
Il sito web di un aggressore può aprire un altro sito in una finestra popup per apprendere informazioni al riguardo sfruttando l'cross-site di fughe di notizie. In alcuni casi, ciò potrebbe consentire anche Sfruttamento di attacchi side-channel basati su Spectre.
L'intestazione Cross-Origin-Opener-Policy consente a un documento di isolare
da finestre multiorigine aperte tramite window.open() o tramite un link con
target="_blank" senza rel="noopener". Di conseguenza, qualsiasi strumento di apertura multiorigine
del documento non vi farà riferimento e non potrà interagire
con essa.
Esempio di utilizzo
Cross-Origin-Opener-Policy: same-origin-allow-popups
Utilizzi consigliati
Puoi provare a come le seguenti configurazioni influiscono sulla comunicazione con un finestra popup multiorigine in questa demo. Modifica il menu a discesa Cross-Origin-Opener-Policy per entrambi i documenti e nella finestra popup, fai clic sul pulsante Apri un popup, quindi fai clic su Invia un postMessage per vedere se il messaggio viene effettivamente consegnato.
Isolare un documento da finestre multiorigine
L'impostazione di same-origin consente di isolare il documento da più origini
finestre di documenti.
Cross-Origin-Opener-Policy: same-origin
Isola un documento dalle finestre multiorigine, ma consenti i popup
L'impostazione di same-origin-allow-popups consente a un documento di conservare un riferimento a
tutte le finestre popup, a meno che non impostino COOP con same-origin o
same-origin-allow-popups. Ciò significa che same-origin-allow-popups può comunque
impedisce che venga fatto riferimento al documento quando viene aperto come finestra popup, ma
consentirgli di comunicare con i propri popup.
Cross-Origin-Opener-Policy: same-origin-allow-popups
Consenti il riferimento a un documento da finestre multiorigine
unsafe-none è il valore predefinito ma puoi indicare esplicitamente che si tratta
il documento può essere aperto da una finestra multiorigine e mantenere l'accesso reciproco.
di Gemini Advanced.
Cross-Origin-Opener-Policy: unsafe-none
Pattern di report non compatibili con COOP
Puoi ricevere report quando COOP impedisce le interazioni tra finestre API di reporting.
Cross-Origin-Opener-Policy: same-origin; report-to="coop"
COOP supporta anche una modalità di sola segnalazione che ti consente di ricevere report senza bloccare effettivamente le comunicazioni tra documenti multiorigine.
Cross-Origin-Opener-Policy-Report-Only: same-origin; report-to="coop"
Browser supportati
Scopri di più
Condivisione delle risorse tra origini (CORS)
A differenza degli altri articoli di questo articolo, la condivisione delle risorse tra origini (CORS) non un'intestazione, ma un meccanismo browser che richiede e consente l'accesso a delle risorse multiorigine.
Per impostazione predefinita, i browser applicano il criterio della stessa origine per Impedisce a una pagina web di accedere alle risorse multiorigine. Ad esempio, quando l'immagine multiorigine viene caricata, anche se viene visualizzata nella pagina web visivamente, il codice JavaScript sulla pagina non ha accesso ai dati dell'immagine. Il fornitore di risorse può allentare le limitazioni e consentire la lettura ad altri siti web la risorsa attivando CORS.
Esempio di utilizzo
Access-Control-Allow-Origin: https://example.com
Access-Control-Allow-Credentials: true
Prima di vedere come configurare CORS, è utile comprendere la distinzione tra i tipi di richiesta. In base ai dettagli della richiesta, essere classificata come richiesta semplice o richiesta preflight.
Criteri per una richiesta semplice:
- Il metodo è
GET,HEADoPOST. - Le intestazioni personalizzate includono solo
Accept,Accept-Language,Content-LanguageeContent-Type. - Il valore
Content-Typeèapplication/x-www-form-urlencoded,multipart/form-dataotext/plain.
Tutto il resto è classificato come richiesta preflight. Per ulteriori dettagli, consulta Condivisione delle risorse tra origini (CORS) - HTTP | MDN.
Utilizzi consigliati
Richiesta semplice
Quando una richiesta soddisfa i criteri di richiesta semplici, il browser invia una
richiesta multiorigine con un'intestazione Origin che indica la richiesta
origine dati.
Intestazione della richiesta di esempio
Get / HTTP/1.1 Origin: https://example.com
Intestazione di risposta di esempio
Access-Control-Allow-Origin: https://example.com Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: https://example.comindica chehttps://example.compuò accedere ai contenuti della risposta. Risorse significate per essere leggibile da qualsiasi sito può impostare questa intestazione su*. In questo caso il browser richiederà solo di effettuare la richiesta senza credenziali.Access-Control-Allow-Credentials: trueindica che le richieste che trasportano le credenziali (cookie) siano autorizzate a caricare la risorsa. Altrimenti, le richieste autenticate saranno rifiutate anche se l'origine richiedente è presente nell'intestazioneAccess-Control-Allow-Origin.
Puoi provare in che modo la richiesta semplice influisce sul caricamento delle risorse in un
Ambiente Cross-Origin-Embedder-Policy: require-corp su questo
una demo. Fai clic sull'
Casella di controllo Condivisione delle risorse tra origini e fai clic sulla casella Ricarica l'immagine.
per vedere l'effetto.
Richieste con periodo di pubblicazione prestabilito
Una richiesta preflight è preceduta da una richiesta OPTIONS per verificare se
di una richiesta successiva.
Intestazione della richiesta di esempio
OPTIONS / HTTP/1.1 Origin: https://example.com Access-Control-Request-Method: POST Access-Control-Request-Headers: X-PINGOTHER, Content-Type
Access-Control-Request-Method: POSTconsente l'invio della seguente richiesta con il metodoPOST.Access-Control-Request-Headers: X-PINGOTHER, Content-Typeconsente di impostare le intestazioni HTTPX-PINGOTHEReContent-Typenel successiva richiesta.
Esempi di intestazioni di risposta
Access-Control-Allow-Origin: https://example.com Access-Control-Allow-Credentials: true Access-Control-Allow-Methods: POST, GET, OPTIONS Access-Control-Allow-Headers: X-PINGOTHER, Content-Type Access-Control-Max-Age: 86400
Access-Control-Allow-Methods: POST, GET, OPTIONSindica che le successive possono essere effettuate con i metodiPOST,GETeOPTIONS.Access-Control-Allow-Headers: X-PINGOTHER, Content-Typeindica le successive possono includere le intestazioniX-PINGOTHEReContent-Type.Access-Control-Max-Age: 86400indica che il risultato della query può essere memorizzata nella cache per 86.400 secondi.
Browser supportati
Scopri di più
Criterio COEP (Cross-Origin Embedder Policy)
Ridurre la capacità delle applicazioni basate su Spectre
attacchi a
sottrarre risorse multiorigine, funzionalità come SharedArrayBuffer o
I performance.measureUserAgentSpecificMemory() sono disattivati per impostazione predefinita.
Cross-Origin-Embedder-Policy: require-corp impedisce a documenti e worker di
caricare risorse multiorigine come immagini, script, fogli di stile, iframe
altri, a meno che queste risorse non attivino esplicitamente il caricamento tramite CORS.
o CORP. COEP può essere combinato conCross-Origin-Opener-Policy
per attivare l'isolamento multiorigine di un documento.
Usa Cross-Origin-Embedder-Policy: require-corp quando vuoi attivare
isolamento multiorigine per il documento.
Esempio di utilizzo
Cross-Origin-Embedder-Policy: require-corp
Esempi di utilizzo
COEP accetta un singolo valore di require-corp. Inviando questa intestazione, puoi
indica al browser di bloccare il caricamento delle risorse che non vengono attivate tramite
CORS o CORP.
Puoi provare in che modo le seguenti configurazioni influiscono sul caricamento delle risorse su questo una demo. Cambia il Cross-Origin-Embedder-Policy, la sezione Menu a discesa Cross-Origin-Resource-Policy, casella di controllo Cross-Origin-Resource-Policy e così via. per vedere come influiscono sul caricamento delle risorse. Inoltre, apri l'endpoint di reporting per vedere se le risorse bloccate segnalato.
Attiva l'isolamento multiorigine
Attiva l'isolamento multiorigine inviando
Cross-Origin-Embedder-Policy: require-corp insieme a
Cross-Origin-Opener-Policy: same-origin.
Cross-Origin-Embedder-Policy: require-corp Cross-Origin-Opener-Policy: same-origin
Segnala risorse non compatibili con COEP
Puoi ricevere segnalazioni relative a risorse bloccate a causa del COEP tramite lo strumento di reporting tramite Google Cloud CLI o tramite l'API Compute Engine.
Cross-Origin-Embedder-Policy: require-corp; report-to="coep"
COEP supporta anche la modalità di sola segnalazione per consentirti di ricevere segnalazioni senza effettivamente bloccare il caricamento delle risorse.
Cross-Origin-Embedder-Policy-Report-Only: require-corp; report-to="coep"
Browser supportati
Scopri di più
HTTP Strict Transport Security (HSTS)
La comunicazione su una connessione HTTP semplice non è crittografata, pertanto dati trasferiti accessibili alle intercettazioni a livello di rete.
L'intestazione Strict-Transport-Security informa il browser che non dovrebbe mai caricarsi
il sito tramite HTTP e al suo posto HTTP. Una volta impostato, il browser utilizzerà
HTTPS anziché HTTP per accedere al dominio senza reindirizzamento per un determinato periodo di tempo
definita nell'intestazione.
Esempio di utilizzo
Strict-Transport-Security: max-age=31536000
Utilizzi consigliati
Tutti i siti web che passano da HTTP a HTTPS devono rispondere con un
Intestazione Strict-Transport-Security quando viene ricevuta una richiesta con HTTP.
Strict-Transport-Security: max-age=31536000
Browser supportati