{"id":35849,"date":"2020-04-24T00:00:48","date_gmt":"2020-04-24T07:00:48","guid":{"rendered":"https:\/\/kinsta.com\/?post_type=knowledgebase&p=71506"},"modified":"2025-10-01T20:50:55","modified_gmt":"2025-10-01T19:50:55","slug":"307-temporary-redirect","status":"publish","type":"post","link":"https:\/\/kinsta.com\/it\/blog\/307-temporary-redirect\/","title":{"rendered":"Comprendere in Profondit\u00e0 il Codice di Stato HTTP 307 Temporary Redirect"},"content":{"rendered":"

Il protocollo HTTP definisce oltre 40 codici di stato del server<\/a>, 9 dei quali servono apposta per i reindirizzamenti URL. Ogni codice di stato del reindirizzamento inizia con il numero 3 (HTTP 3xx) e ha un proprio metodo per gestire i reindirizzamenti. Mentre alcuni di essi sono simili, tutti si occupano dei redirect in modo diverso.<\/p>\n

Capire come funziona ogni codice di stato del reindirizzamento HTTP \u00e8 fondamentale per diagnosticare o correggere gli errori di configurazione del sito web.<\/p>\n

In questa guida, tratteremo in modo approfondito i codici di stato HTTP 307 Temporary Redirect<\/strong> e 307 Internal Redirect<\/strong>, includendo il loro significato e la loro differenza rispetto agli altri codici di stato 3xx redirect.<\/p>\n

Cominciamo!<\/p>\n

<\/div><\/kinsta-auto-toc>\n

Come Funziona il Redirect HTTP 3xx<\/h2>\n

Prima di vedere nel dettaglio le risposte 307 Temporary Redirect e 307 Internal Redirect, cerchiamo di capire come funziona il reindirizzamento HTTP.<\/p>\n

I codici di stato HTTP<\/a> sono risposte dal server al browser. Ogni codice di stato \u00e8 un numero a tre cifre, dove la prima cifra definisce il tipo di risposta. I codici di stato HTTP 3xx<\/strong> implicano un reindirizzamento. Essi indicano al browser di reindirizzare ad un nuovo URL, che \u00e8 definito nell’intestazione Location<\/strong> della risposta del server.<\/p>\n

\"Reindirizzamenti
Reindirizzamenti HTTP 3xx al lavoro<\/figcaption><\/figure>\n

Quando il vostro browser incontra una richiesta di reindirizzamento dal server, deve capire la natura di questa richiesta. I vari codici di stato del reindirizzamento HTTP 3xx gestiscono queste richieste. Conoscerli tutti ci aiuter\u00e0 a capire meglio il 307 Temporary Redirect e il 307 Internal Redirect.<\/p>\n

I Vari Redirect HTTP 3xx<\/h2>\n

Esistono diversi tipi di codici di stato di reindirizzamento HTTP 3xx<\/a>. La specifica HTTP originale non includeva 307 Temporary Redirect e 308 Permanent Redirect, in quanto questi ruoli dovevano essere ricoperti da 301 Moved Permanently e 302 Found.<\/p>\n

Tuttavia, la maggior parte dei client ha cambiato il metodo di richiesta HTTP<\/a> da POST a GET per le risposte di reindirizzamento 301 e 302, nonostante le specifiche HTTP non consentano ai client di farlo. Questo comportamento ha reso necessaria l’introduzione dei pi\u00f9 severi codici di stato 307 Temporary Redirect<\/strong> e 308 Permanent Redirect<\/strong> nell’aggiornamento HTTP\/1.1<\/a>.<\/p>\n

La risposta 307 Internal Redirect<\/strong> \u00e8 una variante del codice di stato 307 Temporary Redirect<\/strong>. Non \u00e8 definita dallo standard HTTP ed \u00e8 solo un’implementazione locale del browser. Ne parleremo pi\u00f9 avanti in dettaglio.<\/p>\n

Mentre i codici di stato di reindirizzamento come 301 e 308 sono memorizzati nella cache di default, altri come 302 e 307 non lo sono. Tuttavia, \u00e8 possibile rendere tutte le risposte di reindirizzamento memorizzabili in cache (o meno) aggiungendo un campo di intestazione della risposta Cache-Control<\/strong> o Expires<\/strong>.<\/p>\n

\"I
I reindirizzamenti HTTP non sono cos\u00ec complessi<\/figcaption><\/figure>\n

Usare 302 vs 303 vs 307 per i Reindirizzamenti Temporanei<\/h2>\n

Come si vede nel grafico sopra, per i reindirizzamenti temporanei si hanno tre opzioni: 302, 303 o 307. Tuttavia, la maggior parte dei clienti tratta il codice di stato 302 come una risposta 303 e cambia il metodo di richiesta HTTP in GET. Questo non \u00e8 l’ideale dal punto di vista della sicurezza<\/a>.<\/p>\n

RFC 1945 e RFC 2068 specificano che il cliente non \u00e8 autorizzato a modificare il metodo sulla richiesta reindirizzata. Tuttavia, la maggior parte delle implementazioni di user agent esistenti trattano il 302 come se fosse una risposta 303, eseguendo un GET sul valore del campo Location indipendentemente dal metodo di richiesta originale. I codici di stato 303 e 307 sono stati aggiunti per i server che desiderano rendere inequivocabilmente chiaro quale tipo di reazione ci si aspetta dal client. <\/em>”
\n– HTTP\/1.1. Definizioni dei codici di stato, W3.org<\/a><\/p><\/blockquote>\n

Quindi, per i reindirizzamenti temporanei in cui \u00e8 necessario mantenere il metodo di richiesta HTTP, usate la pi\u00f9 rigorosa risposta 307 Temporary Redirect<\/strong>.<\/p>\n

Ad esempio, reindirizzare \/register-form.html a signup-form.html, o da \/login.php a \/signin.php.<\/p>\n

Per i casi in cui \u00e8 necessario modificare il metodo di reindirizzamento della richiesta in GET, utilizzate invece la risposta 303 See Other<\/strong>.<\/p>\n

Ad es. reindirizzare una richiesta POST dalla pagina \/register.php per caricare una pagina \/success.html tramite richiesta GET.<\/p>\n

A meno che il vostro target di riferimento non utilizzi client legacy, evitate di utilizzare la risposta di reindirizzamento 302 Found<\/strong>.<\/p>\n

Capire il 307 Internal Redirect per i Siti Solo HTTPS<\/h2>\n

Se avete un sito solo HTTPS<\/a> (cosa che dovreste avere<\/a>), quando provate a visitarlo in modo insicuro tramite il normale http:\/\/, il vostro browser si reindirizzer\u00e0 automaticamente alla sua versione sicura https:\/\/. Di solito, questo accade con una reindirizzamento dal server 301 Moved Permanently.<\/p>\n

Ad esempio, se visitate il sito http:\/\/citibank.com<\/a> e caricate DevTools<\/strong> in Chrome e selezionando la scheda Network<\/strong>, potrete visualizzare tutte le richieste effettuate tra il browser e il server.<\/p>\n

La prima risposta \u00e8 301 Moved Permanently<\/strong>, che reindirizza il browser alla versione HTTPS del sito.<\/p>\n

\"La
La risposta 301 reindirizza alla versione HTTPS<\/figcaption><\/figure>\n

Se scaviamo pi\u00f9 a fondo nei campi Headers<\/strong> della prima richiesta, possiamo vedere che l’header di risposta Location<\/strong> definisce quale sia l’URL sicuro per il reindirizzamento.<\/p>\n

\"L\u2019header
L\u2019header della risposta di posizione definisce l’URL di reindirizzamento<\/figcaption><\/figure>\n

Il problema di questo approccio \u00e8 che i malintenzionati possono dirottare la connessione di rete per reindirizzare il browser verso un URL personalizzato. Attacchi Man-in-the-Middle (MITM)<\/a> come questo sono abbastanza comuni. Una popolare serie televisiva l’ha addirittura parodiato<\/a> in uno dei suoi episodi.<\/p>\n

Inoltre, un malintenzionato pu\u00f2 lanciare un attacco MITM senza modificare l’URL visualizzato nella barra degli indirizzi del browser. Ad esempio, all’utente pu\u00f2 essere servita una pagina di phishing che assomiglia esattamente al sito originale.<\/p>\n

E poich\u00e9 tutto sembra uguale, compreso l’URL nella barra degli indirizzi, la maggior parte degli utenti sar\u00e0 felice di digitare le proprie credenziali. Potete immaginare perch\u00e9 questo pu\u00f2 essere un male.<\/p>\n

\"I
I reindirizzamenti 301 verso HTTPS non sono sicuri<\/figcaption><\/figure>\n

Reindirizzamenti Sicuri con il 307 Internal Redirect<\/h3>\n

Ora proviamo lo stesso esempio con Kinsta. Visitando il sito https:\/\/kinsta.com<\/a> si accede alle richieste di rete come mostrato nell’immagine qui sotto.<\/p>\n

\"Un
Un esempio di 307 Internal Redirect<\/figcaption><\/figure>\n

La prima richiesta da parte del sito \u00e8 come l’esempio precedente, ma questa volta porta ad una risposta 307 Internal Redirect<\/strong>. Facendo clic su di essa si ottengono maggiori dettagli su questa risposta.<\/p>\n

Nota:<\/strong> se provate a visitare il sito direttamente con https:\/\/, non si vedr\u00e0 questa intestazione in quanto il browser non ha bisogno di eseguire alcun reindirizzamento.<\/p>\n

\"Header
Header di risposta del 307 Internal Redirect response<\/figcaption><\/figure>\n

Notate l\u2019header della risposta Non-Authoritative-Reason: HSTS. Si tratta dell’intestazione di risposta Strict Transport Security (HSTS)<\/a> di HTTP, nota anche come header di risposta Strict-Transport-Security.<\/p>\n

Cos’\u00e8 l’HSTS (Strict Transport Security)?<\/h3>\n

L’IETF ha ratificato l’HTTP Strict Transport Security (HSTS) nel 2012<\/a> per costringere i browser a utilizzare connessioni sicure quando un sito funziona rigorosamente su HTTPS.<\/p>\n

Questo \u00e8 simile a Chrome o Firefox che dice: “Non prover\u00f2 nemmeno a richiedere questo sito o una qualsiasi delle sue risorse attraverso il protocollo HTTP insicuro. Lo cambier\u00f2 invece in HTTPS e prover\u00f2 di nuovo”.<\/p>\n

Potete seguire la guida di Kinsta su come abilitare HSTS per renderlo<\/a> operativo sul vostro sito web WordPress.<\/p>\n

\"Maggiore
Maggiore sicurezza con la risposta 307 Internal Redirect<\/figcaption><\/figure>\n

Analizziamo meglio l\u2019header della seconda richiesta per capire meglio.<\/p>\n

\"Verifica
Verifica dell\u2019header di risposta HSTS<\/figcaption><\/figure>\n

Qui si pu\u00f2 vedere dell\u2019header di risposta strict-transport-security: max age=31536000.<\/p>\n

L’attributo max-age<\/strong> dell\u2019header di risposta strict-transport-security<\/strong> definisce per quanto tempo il browser deve seguire questo schema. Nell’esempio precedente, questo valore \u00e8 impostato a 3153600 secondi (cio\u00e8 1 anno).<\/p>\n

Una volta che un sito restituisce questo header di risposta, il browser non tenter\u00e0 nemmeno di effettuare una normale richiesta HTTP. Al contrario, far\u00e0 un 307 Internal Redirect<\/strong>su HTTPS e riprover\u00e0.<\/p>\n

Ogni volta che questo processo si ripete, le intestazioni di risposta vengono resettate. In questo modo il browser non sar\u00e0 in grado di effettuare una richiesta insicura per un periodo di tempo indeterminato.<\/p>\n

Se il vostro sito \u00e8 ospitato su Kinsta, potete creare un ticket di supporto<\/a> per far aggiungere l’intestazione HSTS al vostro sito WordPress. Poich\u00e9 l’aggiunta dell\u2019header HSTS garantisce vantaggi in termini di prestazioni, vi consigliamo di abilitare HSTS per il vostro sito.<\/p>\n

Cos’\u00c8 una Lista di Precaricamento HSTS?<\/h3>\n

\u00a0<\/p>\n

C’\u00e8 un evidente problema di sicurezza anche con l’HSTS. La prima richiesta HTTP che si invia con il browser \u00e8 insicura, ripetendo cos\u00ec il problema che abbiamo osservato in precedenza con Citibank.<\/p>\n

Inoltre, l’header di risposta HSTS pu\u00f2 essere inviato solo tramite HTTPS, per cui la richiesta iniziale non pu\u00f2 nemmeno essere restituita.<\/p>\n

Per affrontare questo problema, HSTS supporta un attributo di precaricamento nell’intestazione della risposta. L’idea \u00e8 quella di avere un elenco di siti che fanno s\u00ec che HSTS sia precaricato nel browser stesso, bypassando completamente questo problema di sicurezza.<\/p>\n

Aggiungendo il vostro sito all’elenco di precaricamento HSTS del browser, sapr\u00e0 che il vostro sito applica una rigorosa politica HSTS, anche se sta visitando il vostro sito per la prima volta. Il browser utilizzer\u00e0 quindi la risposta 307 Internal Redirect<\/strong> per reindirizzare il vostro sito al suo schema sicuro https:\/\/ prima di richiedere qualsiasi altra cosa.<\/p>\n

Si noti che, a differenza del 307 Temporary Redirect<\/strong>, la risposta de l307 Internal Redirect<\/strong> \u00e8 una “falsa intestazione” impostata dal browser stesso. Non proviene dal server, dall’host web (ad es. Kinsta) o dal CMS (ad es. WordPress).<\/p>\n

Aggiungere un sito a una lista di precaricamento HSTS ha molti vantaggi:<\/p>\n

    \n
  1. Il server web non vede mai richieste HTTP insicure. Questo riduce il carico del server e rende il sito pi\u00f9 sicuro.<\/li>\n
  2. Il browser si occupa del reindirizzamento da HTTP a HTTPS<\/a>, rendendo il sito pi\u00f9 veloce e sicuro.<\/li>\n<\/ol>\n

    Requisiti della Lista di precaricamento HSTS<\/h3>\n

    Se desiderate aggiungere il vostro sito alla lista di precaricamento HSTS di un browser, \u00e8 necessario verificare le seguenti condizioni:<\/p>\n