{"id":144837,"date":"2026-06-18T09:00:00","date_gmt":"2026-06-18T07:00:00","guid":{"rendered":"https:\/\/supporthost.com\/it\/?p=144837"},"modified":"2026-06-04T15:42:52","modified_gmt":"2026-06-04T13:42:52","slug":"cross-site-request-forgery","status":"publish","type":"post","link":"https:\/\/supporthost.com\/it\/cross-site-request-forgery\/","title":{"rendered":"Cosa significa cross-site request forgery e come proteggersi"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Proteggere un sito non significa solo impedire accessi non autorizzati. Ci sono attacchi, chiamati CSRF, che non puntano a impadronirsi delle credenziali degli utenti ma a far eseguire delle azioni fraudolente agli utenti autenticati a loro insaputa.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">In questa guida vedremo cos&#8217;\u00e8 il cross-site request forgery, come funziona a livello pratico e tecnico e in che modo sfrutta le richieste HTTP. Scoprirai i principali metodi per prevenire gli attacchi CSRF e gli errori da evitare per mantenere il tuo sito sicuro.<\/p>\n\n\n\n<div class=\"wp-block-rank-math-toc-block\" id=\"rank-math-toc\"><h2>Indice<\/h2><nav><ul><li><a href=\"#che-cose-un-cross-site-request-forgery-csrf\">Cosa significa cross-site request forgery (CSRF)<\/a><\/li><li><a href=\"#come-funziona-un-attacco-csrf\">Come funziona un attacco CSRF?\u00a0<\/a><\/li><li><a href=\"#come-avviene-un-attacco-csrf-a-livello-tecnico\">Come avviene un attacco CSRF a livello tecnico<\/a><ul><li><a href=\"#attacchi-csrf-e-richieste-http\">Attacchi CSRF e richieste HTTP<\/a><\/li><\/ul><\/li><li><a href=\"#differenza-tra-csrf-e-altri-attacchi-simili\">Differenza tra CSRF e altri attacchi simili<\/a><\/li><li><a href=\"#come-difendersi-dagli-attacchi-csrf\">Come difendersi dagli attacchi CSRF<\/a><ul><li><a href=\"#cookie-con-attributo-same-site\">Cookie con attributo SameSite<\/a><\/li><li><a href=\"#token-anti-csrf\">Token anti-CSRF<\/a><\/li><li><a href=\"#controllo-degli-header-http\">Controllo degli header HTTP<\/a><\/li><li><a href=\"#otp-e-captcha\">OTP e CAPTCHA<\/a><\/li><li><a href=\"#protezioni-integrate-nei-framework\">Protezioni integrate nei framework<\/a><\/li><li><a href=\"#web-application-firewall-waf\">Web Application Firewall (WAF)<\/a><\/li><\/ul><\/li><li><a href=\"#errori-comuni-nelle-protezioni-csrf\">Errori comuni nelle protezioni CSRF<\/a><\/li><li><a href=\"#conseguenze-di-un-attacco-csrf\">Conseguenze di un attacco CSRF<\/a><\/li><li><a href=\"#conclusioni\">Conclusioni\u00a0<\/a><\/li><\/ul><\/nav><\/div>\n\n\n\n<h2 id=\"che-cose-un-cross-site-request-forgery-csrf\" class=\"wp-block-heading\">Cosa significa cross-site request forgery (CSRF)<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Il <em>cross-site request forgery<\/em> (CSRF), che in italiano significa &#8220;falsificazione di richiesta tra siti&#8221;, \u00e8 un tipo di <a href=\"https:\/\/supporthost.com\/it\/sito-wordpress-attacco-hacker\/\">attacco informatico<\/a> in cui un <strong>utente viene indotto a compiere delle azioni indesiderate<\/strong>, senza rendersene conto, su un sito web su cui si \u00e8 autenticato. A fare da esca possono essere pulsanti che mostrano inviti all\u2019azione banali, come \u201cScopri l\u2019offerta\u201d, dietro i quali si <strong>nascondono richieste fraudolente<\/strong>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">A differenza di quanto avviene negli attacchi alla riservatezza delle informazioni per\u00f2, nel CSRF lo scopo degli hacker non \u00e8 sottrarre dati ma far compiere all&#8217;utente un\u2019azione precisa, infatti \u00e8 classificato come <strong>attacco all&#8217;integrit\u00e0 delle operazioni<\/strong>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Il CSRF \u00e8 definito anche <strong>attacco cieco<\/strong> perch\u00e9 gli hacker non vedono la risposta del server, ma non ne hanno bisogno.<\/p>\n\n\n\n<h2 id=\"come-funziona-un-attacco-csrf\" class=\"wp-block-heading\">Come funziona un attacco CSRF?&nbsp;<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Per capire come funziona un attacco cross-site request forgery, immagina di eseguire il login su un qualsiasi sito e poi, <strong>mentre la sessione \u00e8 attiva, continuare la navigazione su pagine esterne<\/strong>. Una di queste potrebbe contenere un pulsante apparentemente innocuo, come \u201cScopri di pi\u00f9\u201d, che in realt\u00e0 <strong>contiene un link che invia una richiesta fraudolenta al server<\/strong> dell\u2019ecommerce. Se clicchi sul pulsante, il sito su cui hai eseguito l\u2019accesso la ricever\u00e0 e la eseguir\u00e0, perch\u00e9 non \u00e8 in grado di verificare il contesto da cui proviene.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"1024\" src=\"https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2026\/05\/funzionamento-attacco-csrf-1024x1024.png\" alt=\"Funzionamento Attacco Csrf\" class=\"wp-image-145647\" style=\"width:auto;height:700px\" srcset=\"https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2026\/05\/funzionamento-attacco-csrf-1024x1024.png 1024w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2026\/05\/funzionamento-attacco-csrf-300x300.png 300w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2026\/05\/funzionamento-attacco-csrf-150x150.png 150w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2026\/05\/funzionamento-attacco-csrf-768x768.png 768w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2026\/05\/funzionamento-attacco-csrf-63x63.png 63w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2026\/05\/funzionamento-attacco-csrf.png 1200w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Nell\u2019ambito della sicurezza informatica questa vulnerabilit\u00e0 \u00e8 chiamata <strong>confused deputy<\/strong> \u2013 in italiano delegato confuso \u2013 perch\u00e9 il server, che dovrebbe agire per conto dell\u2019utente, non \u00e8 capace di distinguere una richiesta volontaria da un\u2019involontaria. E i criminali informatici ne approfittano nascondendo richieste all\u2019interno di pagine web malevole.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">L&#8217;azione innescata dal sito fraudolento pu\u00f2 essere <strong>qualsiasi operazione che un visitatore autenticato possa compiere<\/strong> su quel sito. Per esempio se accedi ai servizi online della tua banca e navighi su altri siti mentre la sessione \u00e8 ancora attiva, cliccando su link e pulsanti apparentemente innocui potresti inviare al server una richiesta che trasferisce denaro dal tuo conto a quello di un gruppo di criminali informatici.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Per indurre l\u2019utente a eseguire l\u2019azione che desiderano, spesso gli hacker sfruttano <strong>tecniche di <\/strong><a href=\"https:\/\/it.wikipedia.org\/wiki\/Ingegneria_sociale\" rel=\"noopener\"><strong>ingegneria sociale<\/strong><\/a>, cio\u00e8 strategie che manipolano il comportamento dell\u2019utente creando curiosit\u00e0 o senso di urgenza, come un\u2019offerta limitata o una notifica di sicurezza falsa.<\/p>\n\n\n\n<h2 id=\"come-avviene-un-attacco-csrf-a-livello-tecnico\" class=\"wp-block-heading\">Come avviene un attacco CSRF a livello tecnico<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Gli attacchi CSRF si possono verificare grazie a <strong>due meccanismi usati nel web per rendere la navigazione pi\u00f9 fluida<\/strong>: l&#8217;uso dei cookie di sessione e la possibilit\u00e0 per le pagine web di inviare richieste verso altri siti.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Quando effettui il login su un sito, il server crea e salva nel browser un cookie, cio\u00e8 un piccolo file che tiene traccia della sessione e identifica la tua utenza. Questo ti permette di navigare per un certo lasso di tempo senza dover inserire in continuazione le tue credenziali. Il problema \u00e8 che il <strong>browser allega in automatico il cookie di sessione<\/strong> a ogni richiesta verso quel sito, anche se \u00e8 stata generata da una pagina esterna, per cui per il server \u00e8 impossibile distinguere le richieste che provengono dallo stesso sito e quelle che provengono da pagine esterne.&nbsp;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Succede anche perch\u00e9 i browser sono progettati per <strong>permettere alle pagine web di caricare risorse da altri domini<\/strong>, come immagini, script o servizi di terze parti. In caso contrario l&#8217;<a href=\"https:\/\/supporthost.com\/it\/esperienza-utente-wordpress\/\">esperienza utente in WordPress<\/a> e altre piattaforme sarebbe molto peggiore.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">In passato era molto facile far partire richieste fraudolente anche senza il clic dell\u2019utente, alla sola apertura della pagina. Bastava inserire elementi come:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>tag HTML a caricamento automatico<\/strong>;<\/li>\n\n\n\n<li><strong>moduli POST nascosti nel codice JavaScript<\/strong>, che viene inviato al caricamento della pagina;<\/li>\n\n\n\n<li><strong>script in background che usano AJAX o Fetch<\/strong> per inviare richieste al browser in modo asincrono.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Oggi \u00e8 molto difficile far partire in questo modo attacchi cross-site request forgery perch\u00e9 i browser aggiornati bloccano le richieste automatiche o invisibili provenienti da siti esterni.<\/p>\n\n\n\n<h3 id=\"attacchi-csrf-e-richieste-http\" class=\"wp-block-heading\">Attacchi CSRF e richieste HTTP<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Gli attacchi CSRF sfruttano diversi tipi di richieste HTTP.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Le <strong>richieste POST <\/strong>sono le pi\u00f9 comuni, perch\u00e9 vengono usate per modificare dati e compiere azioni sul server.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">In teoria anche i metodi <strong>GET, PUT e DELETE<\/strong> potrebbero essere sfruttati negli attacchi cross-site request forgery, ma ormai \u00e8 molto raro grazie alle regole per la sicurezza applicate dai browser.<\/p>\n\n\n\n<h2 id=\"differenza-tra-csrf-e-altri-attacchi-simili\" class=\"wp-block-heading\">Differenza tra CSRF e altri attacchi simili<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">\u00c8 facile confondere il CSRF con altri attacchi web che coinvolgono il browser, le richieste HTTP e le interazioni dell\u2019utente ma hanno funzionamento e obiettivi diversi.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Un attacco spesso associato al CSRF, per esempio, \u00e8 il <strong>cross-site scripting (XSS)<\/strong>, che per\u00f2 funziona diversamente perch\u00e9 esegue codice JavaScript nel browser della vittima.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Un\u2019altra tecnica simile al CSRF \u00e8 il <strong>clickjacking o (UI Redressing)<\/strong>, che inganna visivamente l&#8217;utente inserendo nella pagina livelli trasparenti o iframe per far s\u00ec che clicchi inavvertitamente su pulsanti invisibili.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Invece il cross-site request forgery \u2013 un attacco cieco che dipende da un\u2019azione dell\u2019utente \u2013 \u00e8 molto distante dalle tecniche che sfruttano l\u2019automazione per intercettare le password e rubare informazioni come gli attacchi di forza bruta (<em>brute force<\/em>). Nonostante questo, l\u2019<a href=\"https:\/\/supporthost.com\/it\/autenticazione-due-fattori-wordpress\/\">autenticazione a due fattori su WordPress<\/a> e sulle altre piattaforme, pu\u00f2 proteggere i siti da entrambi i tipi di attacco.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"679\" src=\"https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2026\/04\/hacker-attacco-csrf-1024x679.png\" alt=\"Hacker Attacco CSRF\" class=\"wp-image-145071\" srcset=\"https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2026\/04\/hacker-attacco-csrf-1024x679.png 1024w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2026\/04\/hacker-attacco-csrf-300x199.png 300w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2026\/04\/hacker-attacco-csrf-768x509.png 768w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2026\/04\/hacker-attacco-csrf-95x63.png 95w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2026\/04\/hacker-attacco-csrf.png 1194w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<h2 id=\"come-difendersi-dagli-attacchi-csrf\" class=\"wp-block-heading\">Come difendersi dagli attacchi CSRF<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Per prevenire gli attacchi CSRF bisogna fare in modo che il server possa verificare che ogni richiesta dell\u2019utente sia intenzionale. Ci sono varie tecniche, che funzionano meglio quando combinate:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>token anti-CSRF<\/li>\n\n\n\n<li>cookie con attributo SameSite<\/li>\n\n\n\n<li>controllo degli header HTTP<\/li>\n\n\n\n<li>OTP e CAPTCHA<\/li>\n\n\n\n<li>Web Application Firewall (WAF)<\/li>\n\n\n\n<li>protezioni integrate nei framework.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">In generale queste soluzioni migliorano la sicurezza, ma possono rendere meno piacevole l\u2019esperienza utente e aumentare il carico sul server.<\/p>\n\n\n\n<h3 id=\"cookie-con-attributo-same-site\" class=\"wp-block-heading\">Cookie con attributo SameSite<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">I cookie possono essere configurati con l\u2019attributo <strong>SameSite<\/strong>, che fa s\u00ec che vengano allegati solo alle richieste provenienti dallo stesso sito a cui sono associati. In questo modo le richieste generate da siti esterni possono essere filtrate dal server.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\" id=\"e-una-protezione-utile-soprattutto-se-associata-ai-token-anti-csrf\">\u00c8 una protezione utile soprattutto se associata ai token anti-CSRF.<\/p>\n\n\n\n<h3 id=\"token-anti-csrf\" class=\"wp-block-heading\">Token anti-CSRF<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Il <strong>token anti-CSRF <\/strong>\u00e8 uno dei metodi pi\u00f9 efficaci per la protezione da questo tipo di attacco. Come funziona?<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Quando il server genera una pagina che contiene un modulo che permette un&#8217;azione sensibile, incorpora nella pagina anche un codice univoco, il token. Quando l&#8217;utente invia la richiesta, il token viene incluso nei dati. Il server pu\u00f2 cos\u00ec confrontare il codice ricevuto con quello che aveva generato e valutare se la richiesta \u00e8 legittima.&nbsp;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">I token anti-CSRF vengono usati con 2 modalit\u00e0 principali.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Nel <strong>synchronizer token pattern<\/strong>, il codice viene generato dal server e inserito nella pagina.<\/li>\n\n\n\n<li>Nel metodo <strong>cookie-to-header<\/strong>, il codice viene salvato in un cookie e poi copiato da JavaScript in un header della richiesta.&nbsp;<\/li>\n<\/ul>\n\n\n\n<h3 id=\"controllo-degli-header-http\" class=\"wp-block-heading\">Controllo degli header HTTP<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Un\u2019altra tecnica per la prevenzione degli attacchi CSRF \u00e8 il controllo degli header <strong>Referer<\/strong>, che contiene l\u2019URL completo di provenienza, e <strong>Origin, che specifica<\/strong> il dominio. Questo controllo permette al server di riconoscere e bloccare ogni operazione che non provenga dalle proprie pagine.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00c8 semplice da implementare, ma da solo non \u00e8 una difesa efficace poich\u00e9 questi header possono essere omessi per motivi di privacy o risultare assenti a causa di specifiche configurazioni del browser, e in questi casi il server non ha gli elementi per decidere. A seconda della configurazione, bloccher\u00e0 la richiesta per sicurezza oppure la accetter\u00e0 comunque rischiando di esporre l&#8217;utente a un attacco CSRF.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ecco perch\u00e9 viene considerato un filtro supplementare e non una soluzione definitiva contro questo tipo di attacco.<\/p>\n\n\n\n<h3 id=\"otp-e-captcha\" class=\"wp-block-heading\">OTP e CAPTCHA<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Un altro metodo consiste nel richiedere una conferma esplicita da parte dell\u2019utente inserendo un doppio controllo come le <strong>one-time password (OTP)<\/strong> o i <a href=\"https:\/\/supporthost.com\/it\/codice-captcha\/\"><strong>CAPTCHA<\/strong><\/a>. Questi sistemi sono molto sicuri ma non molto amati dalle persone che visitano i siti, perch\u00e9 richiedono azioni aggiuntive per raggiungere il risultato desiderato.<\/p>\n\n\n\n<h3 id=\"protezioni-integrate-nei-framework\" class=\"wp-block-heading\">Protezioni integrate nei framework<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Molti framework \u2013 come Django, Laravel o Spring \u2013 includono una <strong>protezione CSRF automatica<\/strong>, cio\u00e8 generano e verificano i token senza che lo sviluppatore debba implementare tutto manualmente. Per\u00f2 \u00e8 importante che siano <strong>configurati in modo corretto<\/strong> per evitare errori o disattivazioni che rendono l\u2019applicazione vulnerabile.<\/p>\n\n\n\n<h3 id=\"web-application-firewall-waf\" class=\"wp-block-heading\">Web Application Firewall (WAF)<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Un <strong>Web Application Firewall (WAF)<\/strong> pu\u00f2 aiutare a bloccare alcune richieste sospette prima che raggiungano il server e aggiungere un ulteriore livello di sicurezza.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"694\" src=\"https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2026\/04\/conseguenze-cross-site-request-forgery-1024x694.png\" alt=\"Conseguenze Cross Site Request Forgery\" class=\"wp-image-145072\" srcset=\"https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2026\/04\/conseguenze-cross-site-request-forgery-1024x694.png 1024w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2026\/04\/conseguenze-cross-site-request-forgery-300x203.png 300w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2026\/04\/conseguenze-cross-site-request-forgery-768x521.png 768w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2026\/04\/conseguenze-cross-site-request-forgery-93x63.png 93w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2026\/04\/conseguenze-cross-site-request-forgery.png 1139w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<h2 id=\"errori-comuni-nelle-protezioni-csrf\" class=\"wp-block-heading\">Errori comuni nelle protezioni CSRF<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Le difese contro il CSRF sono oggi molto diffuse, ma vanno implementate nel modo giusto. Oggi molte vulnerabilit\u00e0 CSRF nascono proprio dall\u2019uso scorretto delle tecniche di prevenzione.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Uno degli errori consiste nel<strong> controllare<\/strong> i <strong>token anti-CSRF solo su alcuni tipi di richieste HTTP<\/strong>. Per esempio se la verifica riguarda solo le richieste POST ma l\u2019operazione \u00e8 disponibile anche tramite GET, un hacker pu\u00f2 aggirare la protezione cambiando semplicemente metodo.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Alcune applicazioni controllano le richieste che contengono i token ma <strong>accettano tutte le richieste senza token<\/strong>. In questo caso per bypassare la verifica basta non inviarlo.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">A volte le applicazioni <strong>non controllano che il token appartenga alla sessione dell\u2019utente<\/strong> che sta facendo la richiesta, ma accettano qualsiasi codice presente in una lista di token validi. Di conseguenza un hacker pu\u00f2 usare un codice ottenuto con il proprio account e inserirlo nella richiesta inviata inconsapevolmente dalla vittima.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">In altri casi, per esempio se sono coinvolti <strong>pi\u00f9 framework o librerie che accettano cookie diversi senza coordinarsi<\/strong>, il server pu\u00f2 finire per non riuscire a verificare i token in modo accurato e accettare codici che non appartengono alla stessa sessione.&nbsp;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Un\u2019altra situazione pericolosa nasce quando il <strong>token viene salvato sia nella richiesta sia in un cookie<\/strong>, e il server si limita a controllare che i due valori coincidano, ma senza verificarne l\u2019origine. Questo permette agli hacker di creare un valore e inserirlo sia nel cookie che nella richiesta.<\/p>\n\n\n\n<h2 id=\"conseguenze-di-un-attacco-csrf\" class=\"wp-block-heading\">Conseguenze di un attacco CSRF<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Le conseguenze di un attacco CSRF dipendono da cosa \u00e8 possibile fare sul sito preso di mira. Per esempio gli <strong>hacker possono<\/strong>:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>modificare le impostazioni<\/strong> dell&#8217;account come la password o l&#8217;indirizzo email associato;<\/li>\n\n\n\n<li><strong>usare i privilegi di un admin<\/strong> per creare o eliminare utenti o modificare i dati di un sito;<\/li>\n\n\n\n<li><strong>inviare messaggi e postare<\/strong> contenuti sui social;<\/li>\n\n\n\n<li><strong>inviare moduli<\/strong>, compresi quelli per autorizzare pagamenti non voluti dall\u2019utente.&nbsp;<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">L\u2019obiettivo di un attacco CSRF pu\u00f2 essere <strong>sottrarre denaro o effettuare acquisti<\/strong> con il profilo della vittima, pubblicare contenuti non autorizzati a scopo di spam o propaganda, oppure <strong>prendere il controllo dell&#8217;account<\/strong>, per rivenderlo o usarlo in frodi successive.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">In realt\u00e0 impadronirsi di un account con un attacco cross-site request forgery \u00e8 possibile solo su <strong>siti che permettono di modificare dati sensibili tramite una semplice richiesta<\/strong> senza richiedere ulteriori conferme all&#8217;utente \u2013 come l\u2019inserimento della vecchia password o l\u2019<a href=\"https:\/\/supporthost.com\/it\/tutorial\/autenticazione-a-due-fattori\/\">autenticazione a due fattori<\/a> \u2013 e non prevedono token anti-CSRF o attributi SameSite restrittivi. Per fortuna ormai davvero rari.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Il CSRF diventa pi\u00f9 pericoloso quando viene combinato con altri attacchi XSS, che permettono <strong>di sferrare un attacco CSRF <\/strong>dall\u2019interno della pagina stessa rendendolo pi\u00f9 difficile da individuare, sia per i sistemi di protezione che per l\u2019utente.<\/p>\n\n\n\n<h2 id=\"conclusioni\" class=\"wp-block-heading\">Conclusioni&nbsp;<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">In questa guida abbiamo visto che il cross-site request forgery \u00e8 un attacco insidioso perch\u00e9 porta gli utenti autenticati, compresi gli amministratori, a compiere le azioni volute dagli hacker.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Proteggersi significa <strong>fare in modo che il server possa distinguere una richiesta intenzionale<\/strong> da una generata da una pagina esterna. I token anti-CSRF sono uno strumento efficace, ma vanno implementati nel modo giusto e integrati con altre misure, come i cookie SameSite e il controllo degli header.&nbsp;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Per mettere il tuo sito al riparo dalla falsificazione delle richieste tra siti \u00e8 importante anche prendere <strong>precauzioni contro gli attacchi XSS<\/strong>, che possono diventare uno strumento per aggirare le protezioni CSRF.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Se vuoi rendere il tuo sito ancora pi\u00f9 sicuro, puoi leggere le nostre guide alla <a href=\"https:\/\/supporthost.com\/it\/sicurezza-wordpress\/\">sicurezza WordPress<\/a> e agli <a href=\"https:\/\/supporthost.com\/it\/ddos\/\">attacchi DDoS<\/a>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Tu hai gi\u00e0 implementato dei sistemi di protezione per il cross-site request forgery? Se vuoi, raccontaci la tua esperienza nei commenti.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Proteggere un sito non significa solo impedire accessi non autorizzati. Ci sono attacchi, chiamati CSRF, che non puntano a impadronirsi delle credenziali degli utenti ma a far eseguire delle azioni fraudolente agli utenti autenticati a loro insaputa. In questa guida vedremo cos&#8217;\u00e8 il cross-site request forgery, come funziona a livello pratico e tecnico e in [&hellip;]<\/p>\n","protected":false},"author":11,"featured_media":145681,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"inline_featured_image":false,"footnotes":""},"categories":[29],"tags":[],"class_list":["post-144837","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sicurezza"],"acf":[],"_links":{"self":[{"href":"https:\/\/supporthost.com\/it\/wp-json\/wp\/v2\/posts\/144837","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/supporthost.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/supporthost.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/supporthost.com\/it\/wp-json\/wp\/v2\/users\/11"}],"replies":[{"embeddable":true,"href":"https:\/\/supporthost.com\/it\/wp-json\/wp\/v2\/comments?post=144837"}],"version-history":[{"count":14,"href":"https:\/\/supporthost.com\/it\/wp-json\/wp\/v2\/posts\/144837\/revisions"}],"predecessor-version":[{"id":145804,"href":"https:\/\/supporthost.com\/it\/wp-json\/wp\/v2\/posts\/144837\/revisions\/145804"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/supporthost.com\/it\/wp-json\/wp\/v2\/media\/145681"}],"wp:attachment":[{"href":"https:\/\/supporthost.com\/it\/wp-json\/wp\/v2\/media?parent=144837"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/supporthost.com\/it\/wp-json\/wp\/v2\/categories?post=144837"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/supporthost.com\/it\/wp-json\/wp\/v2\/tags?post=144837"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}