{"id":53006,"date":"2025-06-20T13:04:20","date_gmt":"2025-06-20T13:04:20","guid":{"rendered":"https:\/\/www.edgenexus.io\/non-categorizzato\/un-intestazione-di-sicurezza-http-per-combattere-il-clickjacking-come-migliorare-la-sicurezza-del-tuo-sito-con-l-intestazione-delle-opzioni-x-frame\/"},"modified":"2025-06-20T13:04:20","modified_gmt":"2025-06-20T13:04:20","slug":"un-intestazione-di-sicurezza-http-per-combattere-il-clickjacking-come-migliorare-la-sicurezza-del-tuo-sito-con-l-intestazione-delle-opzioni-x-frame","status":"publish","type":"post","link":"https:\/\/www.edgenexus.io\/it\/blog-it\/un-intestazione-di-sicurezza-http-per-combattere-il-clickjacking-come-migliorare-la-sicurezza-del-tuo-sito-con-l-intestazione-delle-opzioni-x-frame\/","title":{"rendered":"Un “intestazione di sicurezza HTTP per combattere il \u2018Clickjacking\u2019 – Come migliorare la sicurezza del tuo sito con l” intestazione delle opzioni X-Frame"},"content":{"rendered":"

 <\/p>\n

Forse ti viene in mente dopo un test di penetrazione della sicurezza o forse perch\u00e9 stai cercando di evitare che qualcuno dirotti il tuo sito o lo ricopra di pubblicit\u00e0. In ogni caso, l \u201cintestazione X-Frame-Options \u00e8 un\u201d intestazione da includere sempre nelle risposte dei siti web per migliorare la sicurezza del tuo sito e garantire una certa sicurezza ai suoi visitatori. <\/p>\n

Questa intestazione specifica al browser come il tuo sito possa essere visualizzato all \u201cinterno di un Frame (o iFrame). Un Frame consente a una pagina web di visualizzare i contenuti di un altro sito al suo interno (spesso in modo non evidente per l\u201d osservatore). Potresti pensare che questo non sia un problema, dopotutto si tratta di una pagina web pubblica, ma non \u00e8 mai cos\u00ec semplice. Cosa succederebbe se qualcuno avesse registrato un nome di dominio comunemente errato e stesse visualizzando il tuo sito su di esso, utilizzando un iFrame? Potrebbero sovrapporre pubblicit\u00e0 o presentare una pagina di login falsa e tutto sembrerebbe assolutamente autentico, perch\u00e9 si tratterebbe del contenuto del tuo sito, solo servito da un \u201caltra parte. Non c\u201d \u00e8 modo pi\u00f9 rapido di perdere la fiducia dei clienti di quando un malintenzionato abusa di questa funzione a suo vantaggio. Ci sono usi genuini per i frame, ma molto probabilmente nessuno su cui fai affidamento. <\/p>\n

Impostare l’intestazione X-Frame-Options su tutte le risposte \u00e8 un modo semplice per evitare problemi di questo tipo. Ci sono tre valori possibili: DENY, SAMEORIGIN e ALLOWFROM; <\/p>\n

-DENY impedir\u00e0 la visualizzazione del contenuto del tuo sito in un Frame, anche da parte di un \u201caltra pagina del tuo sito. Questo spesso va bene, ma ha l\u201d abitudine di interrompere le applicazioni basate su Java. <\/p>\n

-SAMEORIGIN \u00e8 l’impostazione pi\u00f9 comunemente utilizzata e significa che le pagine del tuo sito web possono essere incluse nei frame, ma solo in altre pagine dello stesso sito web.<\/p>\n

-L’opzione -ALLOWFROM \u00e8 piuttosto raffinata e raramente utilizzata: se \u00e8 qualcosa di cui hai bisogno, probabilmente sai gi\u00e0 cosa devi fare; in caso contrario, chiamaci.<\/p>\n

Come diciamo sempre, un grande vantaggio dell’utilizzo di un bilanciatore di carico \u00e8 che dobbiamo apportare modifiche in un unico punto per distribuire questa intestazione a tutti i nostri server. Non dobbiamo affidarci a sviluppatori o a riconfigurazioni di Apache. Basta importare un modello di configurazione jetPACK e assegnare una regola di traffico flightPATH al servizio virtuale che si desidera proteggere. <\/p>\n

flightPATH \u00e8 un motore di regole dinamico e basato sugli eventi sviluppato da edgeNEXUS per manipolare e instradare in modo intelligente il traffico IP, HTTP e HTTPS in modo bilanciato. \u00c8 altamente configurabile e potente, ma molto facile da usare. <\/p>\n

La regola aggiunge l’intestazione solo se non esiste, quindi funzioner\u00e0 anche se i nostri server web la inseriscono gi\u00e0 o la inseriscono solo per pagine specifiche. Questa regola dovrebbe far parte della configurazione standard del tuo Servizio Virtuale: non hai nulla da perdere, qualunque sia il sito, anche se ovviamente \u00e8 sempre consigliabile fare dei test. Puoi scaricare il jetPACK dal sito Github di edgeNEXUS qui<\/a>. <\/p>\n

Questa \u00e8 una delle tante regole flightPATH che abbiamo sviluppato e che puoi implementare per migliorare la sicurezza del tuo sito e dei suoi utenti. Per saperne di pi\u00f9 sulle intestazioni HTTP relative alla sicurezza, consulta questi articoli: <\/p>\n