Sicurezza delle Applicazioni Web

Aggiornato aprile 2026 · 10 min di lettura

La sicurezza web non è un feature opzionale. È un requisito che va integrato fin dalla progettazione.

XSS: Cross-Site Scripting

L’XSS avviene quando input dell’utente viene inserito nel DOM senza sanificazione. La difesa: escape di tutto l’output in base al contesto. I framework moderni come React e Vue lo fanno automaticamente, ma attenzione a dangerouslySetInnerHTML e v-html.

CSRF: Cross-Site Request Forgery

Il CSRF sfrutta la fiducia che il server ha nel browser dell’utente. La difesa standard è il token CSRF. Con SameSite=Strict sui cookie, il rischio si riduce drasticamente.

Content Security Policy

La CSP è il meccanismo più potente per prevenire XSS:

Content-Security-Policy: default-src 'self';
  script-src 'self' 'nonce-abc123';
  style-src 'self' 'unsafe-inline';
  img-src 'self' data: https:;

Autenticazione e sessioni

Le password vanno hashate con bcrypt o argon2. I token JWT hanno scadenza breve. L’autenticazione a due fattori non è più un extra: TOTP o WebAuthn sono le implementazioni consigliate.

HTTPS e header di sicurezza

• Strict-Transport-Security — forza HTTPS
• X-Content-Type-Options: nosniff — previene MIME sniffing
• X-Frame-Options: DENY — blocca clickjacking
• Referrer-Policy — controlla informazioni di referer

Per le PMI senza team security interno, una consulenza specializzata può identificare le vulnerabilità prima che diventino un problema.