Riferimento Intestazioni di Sicurezza HTTP
Riferimento e verificatore delle intestazioni di sicurezza HTTP — CSP, HSTS, X-Frame-Options, CORS e altro.
Content-Security-Policy
cspPrevents XSS attacks by controlling which resources the browser is allowed to load.
Valore Consigliato: default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:;
Rischio di Sicurezza Senza: Cross-site scripting (XSS) attacks
Content-Security-Policy: default-src 'self'
Strict-Transport-Security
transportForces HTTPS connections and prevents SSL stripping attacks.
Valore Consigliato: max-age=31536000; includeSubDomains; preload
Rischio di Sicurezza Senza: Man-in-the-middle attacks, SSL stripping
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Frame-Options
clickjackingPrevents the page from being displayed in a frame/iframe to protect against clickjacking.
Valore Consigliato: DENY or SAMEORIGIN
Rischio di Sicurezza Senza: Clickjacking attacks
X-Frame-Options: DENY
X-Content-Type-Options
cspPrevents MIME type sniffing which can lead to security vulnerabilities.
Valore Consigliato: nosniff
Rischio di Sicurezza Senza: MIME confusion attacks
X-Content-Type-Options: nosniff
Referrer-Policy
cspControls how much referrer information is included in requests.
Valore Consigliato: strict-origin-when-cross-origin
Rischio di Sicurezza Senza: Information leakage via Referer header
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy
cspControls which browser features and APIs can be used in the browser.
Valore Consigliato: camera=(), microphone=(), geolocation=(self)
Rischio di Sicurezza Senza: Unauthorized access to browser APIs
Permissions-Policy: camera=(), microphone=()
Access-Control-Allow-Origin
corsSpecifies which origins can access the resource.
Valore Consigliato: Specific origin or same-origin only — avoid wildcard (*) for authenticated resources
Rischio di Sicurezza Senza: Cross-origin data access
Access-Control-Allow-Origin: https://example.com
Access-Control-Allow-Methods
corsSpecifies the HTTP methods allowed for cross-origin requests.
Valore Consigliato: GET, POST, PUT, DELETE (only what is needed)
Rischio di Sicurezza Senza: Unauthorized HTTP methods via CORS
Access-Control-Allow-Methods: GET, POST
Cache-Control
cacheControls how responses are cached by browsers and proxies.
Valore Consigliato: no-store, no-cache (for sensitive data); max-age=31536000 (for static assets)
Rischio di Sicurezza Senza: Sensitive data cached and exposed
Cache-Control: no-store, no-cache, must-revalidate
Cross-Origin-Resource-Policy
corsPrevents other origins from reading the response of this resource.
Valore Consigliato: same-origin or same-site
Rischio di Sicurezza Senza: Cross-origin information leakage
Cross-Origin-Resource-Policy: same-origin
Cross-Origin-Opener-Policy
corsAllows you to ensure a top-level document does not share a browsing context group with cross-origin documents.
Valore Consigliato: same-origin
Rischio di Sicurezza Senza: Cross-origin attacks via shared browsing context
Cross-Origin-Opener-Policy: same-origin
X-XSS-Protection
cspLegacy header — enables the browser's built-in XSS filter. Mostly superseded by CSP.
Valore Consigliato: 1; mode=block (legacy) or omit in favor of CSP
Rischio di Sicurezza Senza: XSS attacks in older browsers without CSP
X-XSS-Protection: 1; mode=block
Verificatore di Intestazioni
Incolla le intestazioni HTTP della risposta per controllare
Informazioni sullo strumento
Gli intestazioni di sicurezza HTTP sono intestazioni di risposta specializzate che indicano ai browser web come proteggersi dalle vulnerabilità web comuni. A differenza degli intestazioni HTTP generali che controllano la memorizzazione in cache o la distribuzione dei contenuti, gli intestazioni di sicurezza creano un perimetro difensivo intorno alla tua applicazione web prevenendo attacchi come lo scripting tra siti (XSS), il clickjacking, lo sfruttamento dei tipi MIME e il furto di dati tra origini.
Questo strumento fornisce sia un riferimento completo per tutti i principali intestazioni di sicurezza che un verificatore interattivo che analizza la tua attuale postura di sicurezza. Incolla i tuoi intestazioni di risposta HTTP o inserisci un dominio, e vedrai istantaneamente quali intestazioni di sicurezza sono presenti, quali mancano e come la tua configurazione si confronta con le best practice del settore.
Gli sviluppatori web, gli ingegneri DevOps e i team di sicurezza utilizzano questo riferimento per rafforzare i loro deployment senza modifiche al codice. La maggior parte degli intestazioni di sicurezza sono configurati puramente tramite configurazione del server, regole di reverse proxy o plugin di framework dell'applicazione — rendendoli uno dei guadagni più veloci per migliorare la resilienza del tuo sito contro le minacce moderne.
Domande Frequenti
Comments & Feedback
Comments are powered by Giscus. Sign in with GitHub to leave a comment.