Visualizzazione risultati 1 fino 4 di 4

Discussione: Chiarimento su protezioni CSRF e Content Security Policy (CSP) per script PHP

  1. 03-03-2026, 11.10.15 #1
    giostrumenti
    giostrumenti non è connesso Neofita
    Data registrazione
    15-10-2025
    Messaggi
    7

    Question Chiarimento su protezioni CSRF e Content Security Policy (CSP) per script PHP

    Ciao a tutti,

    Sto sviluppando uno strumento per la generazione di palette di colori. Trattandosi di uno strumento che gestisce input e output in PHP, mi stavo chiedendo sulle misure di sicurezza necessarie.

    In particolare, vorrei sapere se la piattaforma Altervista implementa già di default delle protezioni a livello server per:

    Protezione CSRF : È necessario che io generi e convalidi manualmente i token nelle sessioni PHP per ogni form, o esiste un filtro globale della piattaforma?

    Content Security Policy: Gli header di sicurezza vengono gestiti/imposti da Altervista o devo configurarli io tramite il file .htaccess o direttamente via PHP con la funzione header()?

    Vorrei evitare di scrivere codice ridondante se queste misure sono già attive a livello di sistema, ma allo stesso tempo non voglio lasciare lo script vulnerabile.

    Grazie in anticipo
    Ultima modifica di giostrumenti : 03-03-2026 alle ore 18.56.11
  2. 03-03-2026, 22.32.39 #2
    L'avatar di alemoppo
    alemoppo
    alemoppo non è connesso Staff AV
    Invia un messaggio via MSN a alemoppo
    Data registrazione
    24-08-2008
    Residenza
    PU / BO
    Messaggi
    23,366

    Predefinito

    AlterVista supporta normalmente PHP (incluse sessioni con session_start() e $_SESSION).

    Per quanto riguarda però la sicurezza, non ci sono protezioni automatiche a livello applicativo: la protezione CSRF va implementata nel codice, così come eventuali header di sicurezza (es. CSP), che non vengono impostati automaticamente. Se ti servono, puoi impostarli tramite header().

    Ciao!
  3. Ieri, 10.23.17 #3
    giostrumenti
    giostrumenti non è connesso Neofita
    Data registrazione
    15-10-2025
    Messaggi
    7

    Predefinito

    Citazione Originalmente inviato da alemoppo Visualizza messaggio
    AlterVista supporta normalmente PHP (incluse sessioni con session_start() e $_SESSION).

    Per quanto riguarda però la sicurezza, non ci sono protezioni automatiche a livello applicativo: la protezione CSRF va implementata nel codice, così come eventuali header di sicurezza (es. CSP), che non vengono impostati automaticamente. Se ti servono, puoi impostarli tramite header().

    Ciao!
    Grazie mille per il chiarimento.

    A questo punto, per mantenere il codice PHP più pulito e non dover scrivere le intestazioni in ogni script, pensavo di gestire gli header di sicurezza (come la CSP, X-Frame-Options, ecc.) direttamente tramite il file .htaccess.

    AlterVista permette l'uso della direttiva Header set (modulo mod_headers)? In questo modo potrei applicare una protezione globale a livello di directory per tutti i tool che svilupperò, senza appesantire i singoli file .php.
  4. Ieri, 19.59.55 #4
    L'avatar di alemoppo
    alemoppo
    alemoppo non è connesso Staff AV
    Invia un messaggio via MSN a alemoppo
    Data registrazione
    24-08-2008
    Residenza
    PU / BO
    Messaggi
    23,366

    Predefinito

    Le direttive .htaccess disponibili sono elencate qui.
    Il modulo mod_headers non è disponibile, quindi va usato tramite header(). Come protezione globale puoi includere un file PHP in tutti gli script, in ogni caso non è una modifica significativa che apporta più pesantezza alle richieste.

    Ciao!
« Discussione precedente | Prossima discussione »

Regole di scrittura

  • Non puoi creare nuove discussioni
  • Non puoi rispondere ai messaggi
  • Non puoi inserire allegati.
  • Non puoi modificare i tuoi messaggi
  •  

Regole del forum