%20--%3e%3ccircle%20cx='32'%20cy='32'%20r='30'%20fill='rgba(99,102,241,0.05)'%20stroke='url(%23icon-gradient)'%20stroke-width='1.5'/%3e%3c!--%20Left%20bracket%20%3c%20--%3e%3cpath%20d='M12%2020L4%2032L12%2044'%20stroke='url(%23icon-gradient)'%20stroke-width='4'%20stroke-linecap='round'%20stroke-linejoin='round'%20fill='none'/%3e%3c!--%20Central%20E%20--%3e%3cpath%20d='M22%2018H42V24H28V29H40V35H28V40H42V46H22V18Z'%20fill='url(%23icon-accent)'/%3e%3c!--%20Right%20bracket%20%3e%20--%3e%3cpath%20d='M52%2020L60%2032L52%2044'%20stroke='url(%23icon-gradient)'%20stroke-width='4'%20stroke-linecap='round'%20stroke-linejoin='round'%20fill='none'/%3e%3c!--%20Decorative%20dots%20--%3e%3ccircle%20cx='32'%20cy='10'%20r='2'%20fill='%23818CF8'%20opacity='0.7'/%3e%3ccircle%20cx='32'%20cy='54'%20r='2'%20fill='%236366F1'%20opacity='0.7'/%3e%3c/svg%3e){kind=small}
Guida alle vulnerabilità di sicurezza
Comprendere e correggere le vulnerabilità di sicurezza web comuni rilevate da VitaPulse
Media
X-Frame-OptionsControlla se la tua pagina può essere incorporata in iframe su altri siti, prevenendo attacchi di clickjacking.
Rischio
Senza X-Frame-Options, un attaccante può incorporare il tuo sito in un iframe invisibile su una pagina malevola. Gli utenti pensano di interagire con la pagina dell'attaccante, ma in realtà stanno cliccando su elementi del tuo sito (pulsanti di invio, link di eliminazione, azioni di pagamento).
Soluzione
Aggiungi l'header X-Frame-Options. Usa DENY per impedire completamente l'inclusione in frame, o SAMEORIGIN per consentire il framing solo dal tuo stesso dominio. Considera anche la direttiva CSP frame-ancestors per un controllo più granulare.
Esempio
X-Frame-Options: DENY Discussione (0)
Accedi per pubblicare un commento.