14 settembre 2025Italiano

Un'analisi dei concetti critici di sandboxing e contesti di esecuzione JavaScript, essenziali per lo sviluppo sicuro di applicazioni web e la sicurezza del browser.

Sicurezza della Piattaforma Web: Comprendere il Sandboxing di JavaScript e i Contesti di Esecuzione

Nel panorama in continua evoluzione dello sviluppo web, la sicurezza non è un semplice ripensamento; è un pilastro fondamentale su cui si costruiscono applicazioni affidabili e resilienti. Al centro della sicurezza web si trova l'intricata interazione tra come il codice JavaScript viene eseguito e contenuto. Questo post approfondisce due concetti cardine: il Sandboxing di JavaScript e i Contesti di Esecuzione. Comprendere questi meccanismi è cruciale per qualsiasi sviluppatore che miri a creare applicazioni web sicure e per comprendere il modello di sicurezza intrinseco dei browser web.

Il web moderno è un ambiente dinamico in cui codice proveniente da varie fonti – la propria applicazione, librerie di terze parti e persino input utente non attendibili – converge all'interno del browser. Senza meccanismi robusti per controllare e isolare questo codice, il potenziale per attività dannose, violazioni di dati e compromissione del sistema sarebbe immenso. Il sandboxing di JavaScript e il concetto di contesti di esecuzione sono le difese primarie che prevengono tali scenari.

Le Basi: JavaScript e il suo Ambiente di Esecuzione

Prima di addentrarci nel sandboxing e nei contesti, è essenziale comprendere il modello di esecuzione di base di JavaScript in un browser web. JavaScript, essendo un linguaggio di scripting lato client, viene eseguito all'interno del browser dell'utente. Questo ambiente, spesso definito sandbox del browser, è progettato per limitare le azioni che uno script può compiere, proteggendo così il sistema e i dati dell'utente.

Quando una pagina web viene caricata, il motore JavaScript del browser (come V8 per Chrome, SpiderMonkey per Firefox o JavaScriptCore per Safari) analizza ed esegue il codice JavaScript incorporato. Questa esecuzione non avviene nel vuoto; si verifica all'interno di uno specifico contesto di esecuzione.

Cos'è un Contesto di Esecuzione?

Un contesto di esecuzione è un concetto astratto che rappresenta l'ambiente in cui il codice JavaScript viene valutato ed eseguito. È il framework che contiene informazioni sullo scope corrente, le variabili, gli oggetti e il valore della parola chiave this. Quando il motore JavaScript incontra uno script, crea un contesto di esecuzione per esso.

Tipi di Contesti di Esecuzione:

Contesto di Esecuzione Globale (GEC): Questo è il contesto predefinito creato all'avvio del motore JavaScript. In un ambiente browser, l'oggetto globale è l'oggetto window. Tutto il codice che non si trova all'interno di una funzione o di uno scope di blocco viene eseguito all'interno del GEC.
Contesto di Esecuzione di Funzione (FEC): Un nuovo FEC viene creato ogni volta che una funzione viene chiamata. Ogni chiamata di funzione ottiene il proprio contesto di esecuzione unico, che include le proprie variabili, argomenti e la propria catena di scope. Questo contesto viene distrutto una volta che la funzione termina la sua esecuzione e restituisce un valore.
Contesto di Esecuzione di Eval: Il codice eseguito all'interno di una funzione eval() crea il proprio contesto di esecuzione. Tuttavia, l'uso di eval() è generalmente sconsigliato a causa dei rischi per la sicurezza e delle implicazioni sulle prestazioni.

Lo Stack di Esecuzione:

JavaScript utilizza uno stack di chiamate (call stack) per gestire i contesti di esecuzione. Lo stack è una struttura dati Last-In, First-Out (LIFO). All'avvio del motore, inserisce (push) il GEC nello stack. Quando una funzione viene chiamata, il suo FEC viene inserito in cima allo stack. Quando una funzione termina, il suo FEC viene rimosso (pop) dallo stack. Questo meccanismo assicura che il codice attualmente in esecuzione sia sempre in cima allo stack.

Esempio:

            // Il Contesto di Esecuzione Globale (GEC) viene creato per primo
let globalVariable = 'Sono globale';

function outerFunction() {
  // Il FEC di outerFunction viene inserito nello stack
  let outerVariable = 'Sono in outer';

  function innerFunction() {
    // Il FEC di innerFunction viene inserito nello stack
    let innerVariable = 'Sono in inner';
    console.log(globalVariable + ', ' + outerVariable + ', ' + innerVariable);
  }

  innerFunction(); // Il FEC di innerFunction viene creato e inserito
  // Il FEC di innerFunction viene rimosso quando termina
}

outerFunction(); // Il FEC di outerFunction viene inserito nello stack
// Il FEC di outerFunction viene rimosso quando termina
// Il GEC rimane fino alla fine dello script

In questo esempio, quando outerFunction viene chiamata, il suo contesto viene posizionato sopra il contesto globale. Quando innerFunction viene chiamata all'interno di outerFunction, il suo contesto viene posizionato sopra quello di outerFunction. L'esecuzione procede dalla cima dello stack.

La Necessità del Sandboxing

Mentre i contesti di esecuzione definiscono come viene eseguito il codice JavaScript, il sandboxing è il meccanismo che limita ciò che quel codice può fare. Una sandbox è un meccanismo di sicurezza che isola il codice in esecuzione, fornendo un ambiente sicuro e controllato. Nel contesto dei browser web, la sandbox impedisce a JavaScript di accedere o interferire con:

Il sistema operativo dell'utente.
File di sistema sensibili.
Altre schede o finestre del browser appartenenti a origini diverse (un principio fondamentale della Same-Origin Policy).
Altri processi in esecuzione sulla macchina dell'utente.

Immagina uno scenario in cui un sito web dannoso inietta JavaScript che tenta di leggere i tuoi file locali o inviare le tue informazioni personali a un aggressore. Senza una sandbox, questa sarebbe una minaccia significativa. La sandbox del browser agisce come una barriera protettiva, garantendo che gli script possano interagire solo con la pagina web specifica a cui sono associati e entro limiti predefiniti.

Componenti Fondamentali della Sandbox del Browser:

La sandbox del browser non è un'entità singola, ma un sistema complesso di controlli. Gli elementi chiave includono:

La Policy della Stessa Origine (SOP): Questo è forse il meccanismo di sicurezza più fondamentale. Impedisce agli script di un'origine (definita da protocollo, dominio e porta) di accedere o manipolare dati da un'altra origine. Ad esempio, uno script su http://example.com non può leggere direttamente il contenuto di http://another-site.com, anche se si trova sulla stessa macchina. Ciò limita significativamente l'impatto degli attacchi di cross-site scripting (XSS).
Separazione dei Privilegi: I browser moderni impiegano la separazione dei privilegi. Diversi processi del browser vengono eseguiti con diversi livelli di privilegio. Ad esempio, il processo di rendering (che gestisce l'esecuzione di HTML, CSS e JavaScript per una pagina web) ha privilegi significativamente inferiori rispetto al processo principale del browser. Se un processo di rendering viene compromesso, il danno è contenuto all'interno di quel processo.
Policy di Sicurezza dei Contenuti (CSP): La CSP è uno standard di sicurezza che consente agli amministratori di siti web di controllare quali risorse (script, fogli di stile, immagini, ecc.) possono essere caricate o eseguite dal browser. Specificando fonti attendibili, la CSP aiuta a mitigare gli attacchi XSS impedendo l'esecuzione di script dannosi iniettati da posizioni non attendibili.
Policy della Stessa Origine per il DOM: Sebbene la SOP si applichi principalmente alle richieste di rete, regola anche l'accesso al DOM. Gli script possono interagire solo con gli elementi DOM della propria origine.

Come Sandboxing e Contesti di Esecuzione Lavorano Insieme

I contesti di esecuzione forniscono il framework per l'esecuzione del codice, definendone lo scope e il binding di this. Il sandboxing fornisce i confini di sicurezza entro i quali questi contesti di esecuzione operano. Il contesto di esecuzione di uno script detta a cosa può accedere all'interno del suo scope consentito, mentre la sandbox detta se e quanto può accedere al sistema più ampio e ad altre origini.

Considera una tipica pagina web che esegue JavaScript. Il codice JavaScript viene eseguito all'interno dei rispettivi contesti di esecuzione. Tuttavia, questo contesto è intrinsecamente legato alla sandbox del browser. Qualsiasi tentativo da parte del codice JavaScript di eseguire un'azione – come effettuare una richiesta di rete, accedere al local storage o manipolare il DOM – viene prima verificato rispetto alle regole della sandbox. Se l'azione è consentita (es. accedere al local storage della stessa origine, effettuare una richiesta alla propria origine), procede. Se l'azione è limitata (es. tentare di leggere un file dal disco rigido dell'utente, accedere ai cookie di un'altra scheda), il browser la bloccherà.

Tecniche di Sandboxing Avanzate

Oltre alla sandbox intrinseca del browser, gli sviluppatori impiegano tecniche specifiche per isolare ulteriormente il codice e migliorare la sicurezza:

1. Iframe con Attributo `sandbox`:

L'elemento HTML <iframe> è un potente strumento per incorporare contenuti da altre fonti. Quando utilizzato con l'attributo sandbox, crea un ambiente altamente restrittivo per il documento incorporato. L'attributo sandbox può assumere valori che rilassano o restringono ulteriormente le autorizzazioni:

`sandbox` (senza valore): Disabilita quasi tutti i privilegi, inclusa l'esecuzione di script, l'invio di moduli, i popup e i link esterni.
`allow-scripts`: Consente l'esecuzione di script.
`allow-same-origin`: Consente al documento di essere trattato come proveniente dalla sua origine. Usare con estrema cautela!
`allow-forms`: Consente l'invio di moduli.
`allow-popups`: Consente popup e navigazione di primo livello.
`allow-top-navigation`: Consente la navigazione di primo livello.
`allow-downloads`: Consente ai download di procedere senza l'interazione dell'utente.

Esempio:

            <iframe src="untrusted-content.html" sandbox="allow-scripts allow-same-origin"></iframe>

Questo iframe eseguirà script e potrà accedere alla propria origine (se ne ha una). Tuttavia, senza attributi `allow-*` aggiuntivi, non può, ad esempio, aprire nuove finestre o inviare moduli. Questo è prezioso per visualizzare contenuti generati dagli utenti o widget di terze parti in modo sicuro.

2. Web Worker:

I Web Worker sono script JavaScript che vengono eseguiti in background, separati dal thread principale del browser. Questa separazione è una forma di sandboxing: i Web Worker non hanno accesso diretto al DOM e possono comunicare con il thread principale solo tramite lo scambio di messaggi. Ciò impedisce loro di manipolare direttamente l'interfaccia utente, che è un vettore di attacco comune per XSS.

Benefici:

Prestazioni: Scarica calcoli pesanti sul thread del worker senza bloccare l'interfaccia utente.
Sicurezza: Isola attività in background potenzialmente rischiose o complesse.

Esempio (Thread Principale):

            // Crea un nuovo worker
const myWorker = new Worker('worker.js');

// Invia un messaggio al worker
myWorker.postMessage('Inizia il calcolo');

// Ascolta i messaggi dal worker
myWorker.onmessage = function(e) {
  console.log('Messaggio dal worker:', e.data);
};

Esempio (worker.js):

            // Ascolta i messaggi dal thread principale
self.onmessage = function(e) {
  console.log('Messaggio dal thread principale:', e.data);
  // Esegui un calcolo pesante
  const result = performComplexCalculation();
  // Invia il risultato al thread principale
  self.postMessage(result);
};

function performComplexCalculation() {
  // ... immagina una logica complessa qui ...
  return 'Calcolo completato';
}

La parola chiave self nello script del worker si riferisce allo scope globale del worker, non all'oggetto window del thread principale. Questo isolamento è la chiave del suo modello di sicurezza.

3. Service Worker:

I Service Worker sono un tipo di Web Worker che agisce come un server proxy tra il browser e la rete. Possono intercettare le richieste di rete, gestire la cache e abilitare funzionalità offline. Fondamentalmente, i Service Worker vengono eseguiti su un thread separato e non hanno accesso al DOM, rendendoli un modo sicuro per gestire operazioni a livello di rete e attività in background.

Il loro potere risiede nella capacità di controllare le richieste di rete, che può essere sfruttata per la sicurezza controllando il caricamento delle risorse e prevenendo richieste dannose. Tuttavia, la loro capacità di intercettare e modificare le richieste di rete significa anche che devono essere registrati e gestiti con cura per evitare di introdurre nuove vulnerabilità.

4. Shadow DOM e Web Component:

Sebbene non sia un sandboxing diretto come iframe o worker, i Web Component, in particolare con lo Shadow DOM, offrono una forma di incapsulamento. Lo Shadow DOM crea un albero DOM nascosto e con uno scope limitato, collegato a un elemento. Stili e script all'interno dello Shadow DOM sono isolati dal documento principale, prevenendo collisioni di stile e manipolazioni incontrollate del DOM da parte di script esterni.

Questo incapsulamento è vitale per la creazione di componenti UI riutilizzabili che possono essere inseriti in qualsiasi applicazione senza timore di interferenze o di essere interferiti. Crea un ambiente contenuto per la logica e la presentazione del componente.

Contesti di Esecuzione e Implicazioni per la Sicurezza

Comprendere i contesti di esecuzione è fondamentale anche per la sicurezza, in particolare quando si ha a che fare con lo scope delle variabili, le closure e la parola chiave this. Una gestione errata può portare a effetti collaterali indesiderati o vulnerabilità.

Closure e Perdite di Variabili:

Le closure sono una potente funzionalità in cui una funzione interna ha accesso allo scope della funzione esterna, anche dopo che la funzione esterna ha terminato. Sebbene incredibilmente utili per la privacy dei dati e la modularità, se non gestite con attenzione, possono esporre inavvertitamente variabili sensibili o creare perdite di memoria (memory leak).

Esempio di potenziale problema:

            function createSecureCounter() {
  let count = 0;
  // Questa funzione interna forma una closure su 'count'
  return function() {
    count++;
    console.log(count);
    return count;
  };
}

const counter = createSecureCounter();
counter(); // 1
counter(); // 2

// Problema: Se 'count' fosse esposto accidentalmente o se la closure
// stessa avesse un difetto, i dati sensibili potrebbero essere compromessi.
// In questo esempio specifico, 'count' è ben incapsulato.
// Tuttavia, immagina uno scenario in cui un aggressore potrebbe manipolare
// l'accesso della closure ad altre variabili sensibili.

La Parola Chiave `this`:

Il comportamento della parola chiave this può essere confusionario e, se non gestito correttamente, può portare a problemi di sicurezza, specialmente nei gestori di eventi o nel codice asincrono.

Nello scope globale in modalità non-strict, this si riferisce a window.
Nello scope globale in modalità strict, this è undefined.
All'interno delle funzioni, this dipende da come la funzione viene chiamata.

Un binding errato di this può portare uno script ad accedere o modificare variabili o oggetti globali non intenzionali, potenzialmente causando attacchi di cross-site scripting (XSS) o altre iniezioni.

Esempio:

            // Senza 'use strict';
function displayUserInfo() {
  console.log(this.userName);
}

// Se chiamata senza contesto, in modalità non-strict, 'this' potrebbe
// assumere il valore predefinito di window e potenzialmente esporre variabili globali o causare comportamenti imprevisti.

// L'uso di .bind() o delle arrow function aiuta a mantenere un contesto 'this' prevedibile:
const user = { userName: 'Alice' };

const boundDisplay = displayUserInfo.bind(user);
boundDisplay(); // 'Alice'

// Le arrow function ereditano 'this' dallo scope circostante:
const anotherUser = { userName: 'Bob' };
const arrowDisplay = () => {
  console.log(this.userName); // 'this' proverrà dallo scope esterno in cui arrowDisplay è definita.
};

// Se arrowDisplay è definita nello scope globale (non-strict), 'this' sarebbe 'window'.
// Se definita all'interno di un metodo di un oggetto, 'this' si riferirebbe a quell'oggetto.

Inquinamento dell'Oggetto Globale:

Un rischio significativo per la sicurezza è l'inquinamento dell'oggetto globale (global object pollution), dove gli script creano o sovrascrivono inavvertitamente variabili globali. Questo può essere sfruttato da script dannosi per manipolare la logica dell'applicazione o iniettare codice nocivo. Un'incapsulamento corretto e l'evitare l'uso eccessivo di variabili globali sono difese chiave.

Le pratiche moderne di JavaScript, come l'uso di `let` e `const` per variabili con scope di blocco e i moduli (ES Modules), riducono significativamente la superficie di attacco per l'inquinamento globale rispetto alla vecchia parola chiave `var` e alla tradizionale concatenazione di script.

Migliori Pratiche per lo Sviluppo Sicuro

Per sfruttare i benefici di sicurezza del sandboxing e dei contesti di esecuzione ben gestiti, gli sviluppatori dovrebbero adottare le seguenti pratiche:

1. Adottare la Policy della Stessa Origine:

Rispettare sempre la SOP. Progetta le tue applicazioni in modo che dati e funzionalità siano correttamente isolati in base all'origine. Comunica tra origini solo quando assolutamente necessario e usa metodi sicuri come `postMessage` per la comunicazione tra finestre.

2. Utilizzare il Sandboxing degli `iframe` per Contenuti non Attendibili:

Quando si incorporano contenuti di terze parti o contenuti generati dagli utenti di cui non ci si può fidare completamente, utilizzare sempre l'attributo `sandbox` sugli elementi ``. Configurare gli attributi `sandbox` con precisione per consentire solo le autorizzazioni necessarie.</p> <h3>3. Sfruttare Web Worker e Service Worker:</h3> <p>Per attività computazionalmente intensive o operazioni in background, usare i Web Worker. Per attività a livello di rete e funzionalità offline, impiegare i Service Worker. Queste tecnologie forniscono un isolamento naturale che migliora la sicurezza.</p> <h3>4. Implementare la Content Security Policy (CSP):</h3> <p>Definire una CSP forte per la propria applicazione web. Questo è uno dei modi più efficaci per prevenire attacchi XSS controllando quali script possono essere eseguiti, da dove possono essere caricati e quali altre risorse il browser può recuperare.</p> <p><strong>Esempio di Header CSP:</strong></p> <div class="code-block-wrapper"> <pre data-language="code"> <code>Content-Security-Policy: default-src 'self'; script-src 'self' https://cdnjs.cloudflare.com; </code> <div class="copy-button-container"> <button data-code="Q29udGVudC1TZWN1cml0eS1Qb2xpY3k6IGRlZmF1bHQtc3JjICdzZWxmJzsgc2NyaXB0LXNyYyAnc2VsZicgaHR0cHM6Ly9jZG5qcy5jbG91ZGZsYXJlLmNvbTsK" class="copy-button" title="Copy code" > Copy </button> </div> </pre> </div> <p>Questa policy consente il caricamento di risorse solo dalla stessa origine (`'self'`) e permette agli script di essere caricati dalla stessa origine e da `https://cdnjs.cloudflare.com`. Qualsiasi script che tenti di caricarsi da altrove verrebbe bloccato.</p> <h3>5. Usare Moduli e Scoping Moderno:</h3> <p>Adottare i Moduli ES per strutturare il proprio JavaScript. Ciò fornisce una gestione chiara delle dipendenze e un vero scoping a livello di modulo, riducendo significativamente il rischio di inquinamento dello scope globale.</p> <h3>6. Prestare Attenzione a <code>this</code> e alle Closure:</h3> <p>Usare le arrow function o `.bind()` per controllare esplicitamente il contesto di `this`. Gestire attentamente le closure per assicurarsi che dati sensibili non vengano esposti inavvertitamente. Rivedere regolarmente il codice per individuare potenziali vulnerabilità legate allo scope.</p> <h3>7. Sanificare l'Input dell'Utente:</h3> <p>Questo è un principio di sicurezza generale ma critico. Sanificare e convalidare sempre qualsiasi dato proveniente dagli utenti prima che venga visualizzato, memorizzato o utilizzato in qualsiasi modo. Questa è la difesa primaria contro gli attacchi XSS in cui JavaScript dannoso viene iniettato nella pagina.</p> <h3>8. Evitare <code>eval()</code> e <code>new Function()</code> Quando Possibile:</h3> <p>Questi metodi eseguono stringhe come codice JavaScript, creando nuovi contesti di esecuzione. Tuttavia, sono spesso difficili da proteggere e possono facilmente portare a vulnerabilità di iniezione se la stringa di input non viene meticolosamente sanificata. Preferire alternative più sicure come il parsing di dati strutturati o il codice pre-compilato.</p> <h2>Prospettiva Globale sulla Sicurezza Web</h2> <p>I principi del sandboxing di JavaScript e dei contesti di esecuzione sono universali in tutti i moderni browser web e sistemi operativi a livello mondiale. La Same-Origin Policy, ad esempio, è uno standard fondamentale di sicurezza del browser che si applica ovunque. Nello sviluppo di applicazioni per un pubblico globale, è essenziale ricordare:</p> <ul> <li><strong>Coerenza:</strong> Sebbene le implementazioni dei browser possano presentare piccole variazioni, il modello di sicurezza di base rimane coerente.</li> <li><strong>Regolamenti sulla Privacy dei Dati:</strong> Misure di sicurezza come il sandboxing e la SOP sono vitali per conformarsi alle normative globali sulla privacy dei dati come il GDPR (Regolamento Generale sulla Protezione dei Dati) in Europa, il CCPA (California Consumer Privacy Act) negli Stati Uniti e altri. Limitando le capacità degli script, si proteggono intrinsecamente i dati degli utenti da accessi non autorizzati.</li> <li><strong>Integrazioni di Terze Parti:</strong> Molte applicazioni globali si basano su script di terze parti (es. analisi, pubblicità, widget dei social media). Comprendere come questi script vengono eseguiti all'interno della sandbox del browser e come controllarli tramite CSP è fondamentale per mantenere la sicurezza tra diverse basi di utenti geografiche.</li> <li><strong>Lingua e Localizzazione:</strong> Sebbene i meccanismi di sicurezza siano indipendenti dalla lingua, i dettagli di implementazione potrebbero interagire con le librerie di localizzazione o le funzioni di manipolazione delle stringhe. Gli sviluppatori devono garantire che le pratiche di sicurezza siano mantenute indipendentemente dalla lingua o dalla regione da cui un utente accede all'applicazione. Ad esempio, è fondamentale sanificare l'input che potrebbe contenere caratteri di alfabeti diversi.</li> </ul> <h2>Conclusione</h2> <p>Il sandboxing di JavaScript e i contesti di esecuzione non sono solo concetti teorici; sono le funzionalità di sicurezza pratiche e integrate che rendono il web moderno utilizzabile e relativamente sicuro. I contesti di esecuzione definiscono il 'come' e il 'dove' dell'ambiente operativo di JavaScript, mentre il sandboxing definisce il 'cosa' – i confini del suo potere. Comprendendo a fondo questi meccanismi e aderendo alle migliori pratiche, gli sviluppatori possono migliorare significativamente la postura di sicurezza delle loro applicazioni web, proteggendo sia gli utenti che i propri sistemi da una vasta gamma di minacce.</p> <p>Man mano che le applicazioni web diventano più complesse e interconnesse, una solida comprensione di questi principi fondamentali di sicurezza è più importante che mai. Che si stia costruendo un semplice sito web o una complessa piattaforma globale, dare la priorità alla sicurezza fin dall'inizio, comprendendo e implementando correttamente la gestione del sandboxing e dei contesti di esecuzione, porterà ad applicazioni più robuste, affidabili e resilienti.</p></div><footer class="mt-12 pt-8 border-t border-gray-200"><h3 class="text-sm font-semibold text-gray-900 mb-3 dark:text-white/90">Tags:</h3><div class="flex flex-wrap gap-2"><span class="inline-block bg-gray-100 text-gray-800 px-3 py-1 rounded-full text-sm hover:bg-gray-200 transition-colors dark:bg-neutral-800 dark:text-white dark:hover:bg-neutral-700">sicurezza JavaScript</span><span class="inline-block bg-gray-100 text-gray-800 px-3 py-1 rounded-full text-sm hover:bg-gray-200 transition-colors dark:bg-neutral-800 dark:text-white dark:hover:bg-neutral-700">sicurezza web</span><span class="inline-block bg-gray-100 text-gray-800 px-3 py-1 rounded-full text-sm hover:bg-gray-200 transition-colors dark:bg-neutral-800 dark:text-white dark:hover:bg-neutral-700">sandboxing</span><span class="inline-block bg-gray-100 text-gray-800 px-3 py-1 rounded-full text-sm hover:bg-gray-200 transition-colors dark:bg-neutral-800 dark:text-white dark:hover:bg-neutral-700">contesto di esecuzione</span><span class="inline-block bg-gray-100 text-gray-800 px-3 py-1 rounded-full text-sm hover:bg-gray-200 transition-colors dark:bg-neutral-800 dark:text-white dark:hover:bg-neutral-700">sicurezza browser</span><span class="inline-block bg-gray-100 text-gray-800 px-3 py-1 rounded-full text-sm hover:bg-gray-200 transition-colors dark:bg-neutral-800 dark:text-white dark:hover:bg-neutral-700">manipolazione DOM</span><span class="inline-block bg-gray-100 text-gray-800 px-3 py-1 rounded-full text-sm hover:bg-gray-200 transition-colors dark:bg-neutral-800 dark:text-white dark:hover:bg-neutral-700">cross-site scripting (XSS)</span><span class="inline-block bg-gray-100 text-gray-800 px-3 py-1 rounded-full text-sm hover:bg-gray-200 transition-colors dark:bg-neutral-800 dark:text-white dark:hover:bg-neutral-700">content security policy (CSP)</span><span class="inline-block bg-gray-100 text-gray-800 px-3 py-1 rounded-full text-sm hover:bg-gray-200 transition-colors dark:bg-neutral-800 dark:text-white dark:hover:bg-neutral-700">iframe</span><span class="inline-block bg-gray-100 text-gray-800 px-3 py-1 rounded-full text-sm hover:bg-gray-200 transition-colors dark:bg-neutral-800 dark:text-white dark:hover:bg-neutral-700">web worker</span><span class="inline-block bg-gray-100 text-gray-800 px-3 py-1 rounded-full text-sm hover:bg-gray-200 transition-colors dark:bg-neutral-800 dark:text-white dark:hover:bg-neutral-700">motore v8</span><span class="inline-block bg-gray-100 text-gray-800 px-3 py-1 rounded-full text-sm hover:bg-gray-200 transition-colors dark:bg-neutral-800 dark:text-white dark:hover:bg-neutral-700">motore javascript</span><span class="inline-block bg-gray-100 text-gray-800 px-3 py-1 rounded-full text-sm hover:bg-gray-200 transition-colors dark:bg-neutral-800 dark:text-white dark:hover:bg-neutral-700">programmazione sicura</span><span class="inline-block bg-gray-100 text-gray-800 px-3 py-1 rounded-full text-sm hover:bg-gray-200 transition-colors dark:bg-neutral-800 dark:text-white dark:hover:bg-neutral-700">sviluppo web</span><span class="inline-block bg-gray-100 text-gray-800 px-3 py-1 rounded-full text-sm hover:bg-gray-200 transition-colors dark:bg-neutral-800 dark:text-white dark:hover:bg-neutral-700">cybersecurity</span><template id="P:4"></template></div></footer></article></div><script>$RS=function(a,b){a=document.getElementById(a);b=document.getElementById(b);for(a.parentNode.removeChild(a);a.firstChild;)b.parentNode.insertBefore(a.firstChild,b);b.parentNode.removeChild(b)};$RS("S:2","P:2")</script><div hidden id="S:4"><span class="inline-block bg-gray-100 text-gray-800 px-3 py-1 rounded-full text-sm hover:bg-gray-200 transition-colors dark:bg-neutral-800 dark:text-white dark:hover:bg-neutral-700">web globale</span></div><script>$RS("S:4","P:4")</script><script>$RC("B:1","S:1")</script></body></html>

Sicurezza della Piattaforma Web: Comprendere il Sandboxing di JavaScript e i Contesti di Esecuzione

Le Basi: JavaScript e il suo Ambiente di Esecuzione

Cos'è un Contesto di Esecuzione?

Tipi di Contesti di Esecuzione:

Lo Stack di Esecuzione:

La Necessità del Sandboxing

Componenti Fondamentali della Sandbox del Browser:

Come Sandboxing e Contesti di Esecuzione Lavorano Insieme

Tecniche di Sandboxing Avanzate

1. Iframe con Attributo sandbox:

2. Web Worker:

3. Service Worker:

4. Shadow DOM e Web Component:

Contesti di Esecuzione e Implicazioni per la Sicurezza

Closure e Perdite di Variabili:

La Parola Chiave this:

Inquinamento dell'Oggetto Globale:

Migliori Pratiche per lo Sviluppo Sicuro

1. Adottare la Policy della Stessa Origine:

2. Utilizzare il Sandboxing degli iframe per Contenuti non Attendibili:

1. Iframe con Attributo `sandbox`:

La Parola Chiave `this`:

2. Utilizzare il Sandboxing degli `iframe` per Contenuti non Attendibili: