Prevenzione XSS e XSRF
Per proteggersi dal cross-site scripting (XSS), è necessaria l'intestazione HTTP X-Content-Type-Options: nosniff per tutte le risposte. Includi anche Content-Type: application/json; charset=utf-8 nell'intestazione della risposta.
Per proteggersi dalla falsificazione cross-site (XSRF) è necessaria l'intestazione HTTP X-XSRF-Protected: 1 per tutte le richieste.
Salvo quando diversamente specificato, i contenuti di questa pagina sono concessi in base alla licenza Creative Commons Attribution 4.0, mentre gli esempi di codice sono concessi in base alla licenza Apache 2.0. Per ulteriori dettagli, consulta le norme del sito di Google Developers. Java è un marchio registrato di Oracle e/o delle sue consociate.
Ultimo aggiornamento 2022-09-26 UTC.
[null,null,["Ultimo aggiornamento 2022-09-26 UTC."],[[["All responses must include the `X-Content-Type-Options: nosniff` and `Content-Type: application/json; charset=utf-8` headers to mitigate cross-site scripting (XSS) vulnerabilities."],["All requests must include the `X-XSRF-Protected: 1` header to defend against cross-site request forgery (XSRF) attacks."]]],["Responses should include `X-Content-Type-Options: nosniff` and `Content-Type: application/json; charset=utf-8` headers to prevent cross-site scripting (XSS). To prevent cross-site request forgery (XSRF), all requests must include the `X-XSRF-Protected: 1` header. These actions enhance security by ensuring content types are strictly interpreted and verifying the origin of requests, thus mitigating common web vulnerabilities.\n"]]
