%20--%3e%3ccircle%20cx='32'%20cy='32'%20r='30'%20fill='rgba(99,102,241,0.05)'%20stroke='url(%23icon-gradient)'%20stroke-width='1.5'/%3e%3c!--%20Left%20bracket%20%3c%20--%3e%3cpath%20d='M12%2020L4%2032L12%2044'%20stroke='url(%23icon-gradient)'%20stroke-width='4'%20stroke-linecap='round'%20stroke-linejoin='round'%20fill='none'/%3e%3c!--%20Central%20E%20--%3e%3cpath%20d='M22%2018H42V24H28V29H40V35H28V40H42V46H22V18Z'%20fill='url(%23icon-accent)'/%3e%3c!--%20Right%20bracket%20%3e%20--%3e%3cpath%20d='M52%2020L60%2032L52%2044'%20stroke='url(%23icon-gradient)'%20stroke-width='4'%20stroke-linecap='round'%20stroke-linejoin='round'%20fill='none'/%3e%3c!--%20Decorative%20dots%20--%3e%3ccircle%20cx='32'%20cy='10'%20r='2'%20fill='%23818CF8'%20opacity='0.7'/%3e%3ccircle%20cx='32'%20cy='54'%20r='2'%20fill='%236366F1'%20opacity='0.7'/%3e%3c/svg%3e){kind=small}
Guida alle vulnerabilità di sicurezza
Comprendere e correggere le vulnerabilità di sicurezza web comuni rilevate da VitaPulse
Alta
Content-Security-Policy (CSP)Definisce quali risorse (script, stili, immagini) possono essere caricate sulla tua pagina, prevenendo attacchi di iniezione di contenuti.
Rischio
Senza CSP, un attaccante che riesce a iniettare contenuto nella tua pagina (tramite XSS, un campo input non sanitizzato o una dipendenza di terze parti compromessa) può eseguire script arbitrari nel browser dei tuoi utenti. Questo può portare a furto di sessione, keylogging, defacement e esfiltrazione di dati.
Soluzione
Inizia con una policy restrittiva e allentala gradualmente. Usa le direttive per controllare ogni tipo di risorsa. Testa con Content-Security-Policy-Report-Only prima di applicarla.
Esempio
Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted-cdn.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self'; connect-src 'self' https://api.example.com Discussione (0)
Accedi per pubblicare un commento.