Cos'è la codifica Base64 e perché si chiama 'Base64'?

Base64 è uno schema di codifica binario-in-testo che rappresenta dati binari usando 64 caratteri ASCII stampabili: A-Z (26), a-z (26), 0-9 (10), più '+' e '/' (2), per un totale di 64. Il carattere '=' viene usato come padding. Si chiama Base64 perché ci sono 64 valori possibili per ogni carattere codificato, e ogni carattere codifica esattamente 6 bit dei dati originali (2^6 = 64).

La codifica Base64 cifra i miei dati?

No. Base64 è uno schema di codifica, non un algoritmo di crittografia. La codifica è reversibile senza alcuna chiave — chiunque abbia una stringa Base64 può decodificarla istantaneamente usando qualsiasi decoder Base64. Se hai bisogno di proteggere i dati dall'accesso non autorizzato, devi usare la crittografia (come AES-256) prima o al posto della codifica. Base64 è utile solo per rendere i dati binari sicuri per la trasmissione in protocolli basati su testo — non fornisce alcuna riservatezza.

Di quanto è più grande l'output Base64 rispetto ai dati originali?

La codifica Base64 aumenta la dimensione dei dati di circa il 33%. Ogni 3 byte di input diventano 4 caratteri Base64, più vengono aggiunti caratteri di padding ('=') per rendere la lunghezza dell'output un multiplo di 4. Ad esempio, 3 byte diventano 4 caratteri, 6 byte diventano 8 caratteri e 1 MB diventa circa 1,37 MB dopo la codifica. Questo overhead è il principale compromesso quando si decide se usare Base64.

Qual è la differenza tra Base64 standard e Base64 URL-safe?

Base64 standard usa '+' e '/' come 62° e 63° carattere. Questi caratteri hanno significati speciali negli URL: '+' viene decodificato come spazio nelle query string, e '/' è un separatore di percorso. Base64 URL-safe (chiamato anche Base64url) sostituisce '+' con '-' e '/' con '_', rendendo la stringa codificata sicura da includere negli URL e nei nomi di file senza ulteriore codifica percentuale. I caratteri di padding ('=') vengono spesso omessi nella codifica URL-safe. I token JWT, ad esempio, usano Base64url senza padding.

Dovrei usare Base64 per archiviare le password?

Assolutamente no. Base64 è banalmente reversibile — qualsiasi stringa Base64 può essere decodificata nel suo valore originale in millisecondi. Archiviare password codificate in Base64 è equivalente ad archiviarle in testo semplice. Le password devono essere hashate con una funzione di hashing delle password appropriata come bcrypt, scrypt o Argon2, che sono progettate per essere computazionalmente costose e irreversibili. Base64 non ha nessun ruolo nell'archiviazione delle password.

Quando NON dovrei usare la codifica Base64?

Evita Base64 quando: (1) Hai bisogno di sicurezza — Base64 non è crittografia. (2) Stai incorporando file grandi come immagini in HTML/CSS — l'overhead del 33% e l'impossibilità di memorizzare separatamente nella cache la risorsa danneggiano le prestazioni. (3) Stai archiviando dati binari grandi in un database — archiviali in una colonna binaria dedicata o in object storage come S3, non come stringhe Base64. (4) Hai bisogno di un'elaborazione veloce — la codifica e decodifica Base64 aggiunge overhead CPU per i payload grandi. Usa Base64 solo quando hai genuinamente bisogno di rappresentare dati binari come testo ASCII in un protocollo o formato che non può gestire binary grezzo.

Capire la Codifica Base64 — Guida Completa per Sviluppatori

10 maggio 2026 Toova

La codifica Base64 appare in quasi ogni area dello sviluppo web — token JWT, data URI, allegati email, payload API, firme crittografiche e file di configurazione. Nonostante sia onnipresente, è spesso fraintesa: gli sviluppatori a volte la confondono con la crittografia, o la usano in situazioni dove peggiora le cose. Questa guida spiega esattamente come funziona Base64, quando usarla, quando evitarla e come usarla correttamente in JavaScript.

Cos'è la Codifica Base64 (e Cosa Non È)

Base64 è uno schema di codifica binario-in-testo. Il suo unico compito è convertire dati binari arbitrari in una stringa di caratteri ASCII stampabili. Non comprime i dati, non cifra i dati e non valida i dati. È puramente una trasformazione della rappresentazione — prendere byte che potrebbero includere null byte, caratteri di controllo o valori che romperebbero i protocolli basati su testo, e convertirli in un charset sicuro.

Il nome deriva dai 64 caratteri stampabili usati come alfabeto di codifica: A–Z (26 caratteri), a–z (26 caratteri), 0–9 (10 caratteri), più + e / (2 caratteri). Il carattere = è usato per il padding. Poiché ci sono 64 valori possibili per posizione di carattere e 2^6 = 64, ogni carattere Base64 codifica esattamente 6 bit dei dati originali.

Come Funziona Base64 — "Hello" Passo per Passo

Il modo migliore per capire Base64 è tracciare un esempio concreto. Codifichiamo la stringa Hello.

Passo 1: Converti in byte

Ogni carattere in Hello si mappa al suo codice ASCII, che viene poi espresso in binario (8 bit per byte):

H  e  l  l  o
72 65 6C 6C 6F   (ASCII / hex)
01001000 01100101 01101100 01101100 01101111   (binario)

Passo 2: Raggruppa in chunk da 6 bit

Concatena tutti i bit: 0100100001100101011011000110110001101111 (40 bit). Base64 elabora 3 byte (24 bit) alla volta e li mappa a 4 caratteri Base64 (4 × 6 = 24 bit). Raggruppa i 40 bit in chunk da 6 bit, riempiendo l'ultimo gruppo con zeri:

010010 000110 010101 101100 011011 000110 1111
18     6      21     44     27     6      (ultimo gruppo riempito a 6 bit: 111100 = 60)

Passo 3: Mappa all'alfabeto Base64

Ogni valore a 6 bit si mappa a un carattere nell'alfabeto Base64 (A=0, B=1, ... Z=25, a=26, ... z=51, 0=52, ... 9=61, +=62, /=63). Poiché 5 byte non è un multiplo di 3, viene aggiunto un carattere di padding =:

Indice: 18  6   21  44  27  6   60
Char:   S   G   V   s   b   G   8
Risultato: SGVsbG8=   (= è il padding)

Risultato

"Hello" → "SGVsbG8="

Puoi verificarlo istantaneamente con l'encoder/decoder Base64 di Toova — incolla Hello, clicca su Encode e ottieni SGVsbG8=. Clicca su Decode per invertirlo.

L'Overhead del 33%

La codifica Base64 aumenta sempre la dimensione dei dati di circa il 33%. La matematica è semplice: 3 byte di input (24 bit) producono 4 caratteri Base64 (24 bit codificati in 4 gruppi da 6 bit). Questo è un rapporto di 4/3, ovvero il 33,3% di overhead. Aggiungendo i caratteri di padding, il vero overhead è tra il 33% e il 36%, a seconda della lunghezza dell'input.

Questo conta significativamente per le prestazioni. Un'immagine da 1 MB incorporata come data URI Base64 in HTML diventa circa 1,37 MB. Un'API che codifica tutti i payload binari in Base64 invia il 33% di dati in più del necessario. Per valori piccoli come token brevi o checksum, l'overhead è trascurabile. Per file grandi, è un costo reale.

La Variante URL-Safe

Base64 standard usa + e / come ultimi due caratteri dell'alfabeto. Entrambi sono problematici negli URL:

+ viene decodificato come spazio nelle query string
/ è un separatore di percorso negli URL

Base64 URL-safe (chiamato anche Base64url, definito in RFC 4648 Sezione 5) sostituisce + con - e / con _. Il padding (=) viene di solito omesso nei contesti URL-safe perché può essere anche mal interpretato da alcuni parser URL.

I token JWT usano Base64url senza padding. Quando decodifichi manualmente un header o payload JWT, devi gestire sia la sostituzione dei caratteri che il padding mancante. Ecco come farlo in JavaScript:

// Base64 URL-safe (sostituisce + con - e / con _)
function toBase64Url(base64) {
  return base64.replace(/\+/g, '-').replace(/\//g, '_').replace(/=/g, '');
}

function fromBase64Url(base64url) {
  const padded = base64url.padEnd(
    base64url.length + (4 - base64url.length % 4) % 4,
    '='
  );
  return atob(padded.replace(/-/g, '+').replace(/_/g, '/'));
}

L'encoder/decoder Base64 di Toova supporta entrambe le varianti standard e URL-safe con un singolo toggle.

Base64 in JavaScript

Browser: btoa() e atob()

I browser forniscono due funzioni built-in: btoa() (binary to ASCII, ovvero encode) e atob() (ASCII to binary, ovvero decode). Nonostante l'ordine dei nomi confuso, sono disponibili nei browser da oltre un decennio.

// Browser — atob / btoa (solo stringhe, ASCII-safe)
const encoded = btoa("Hello");
console.log(encoded); // "SGVsbG8="

const decoded = atob("SGVsbG8=");
console.log(decoded); // "Hello"

Limitazione importante: btoa() accetta solo stringhe con caratteri nell'intervallo Latin-1 (code point 0-255). Se passi una stringa con caratteri Unicode come emoji o caratteri CJK, lancia un DOMException. Per codificare dati binari arbitrari, convertili prima in un Uint8Array:

// Browser — codifica dati binari arbitrari (Uint8Array)
const bytes = new Uint8Array([72, 101, 108, 108, 111]);
const encoded = btoa(String.fromCharCode(...bytes));
console.log(encoded); // "SGVsbG8="

Per codificare stringhe arbitrarie che potrebbero contenere caratteri Unicode, l'approccio moderno raccomandato è usare TextEncoder per ottenere un Uint8Array prima, poi codificare come mostrato sopra.

Node.js: Buffer

Node.js fornisce la classe Buffer, che gestisce correttamente i dati binari e supporta più codifiche incluse Base64 e Base64url:

// Node.js — Buffer (gestisce correttamente i dati binari)
const encoded = Buffer.from('Hello').toString('base64');
console.log(encoded); // "SGVsbG8="

const decoded = Buffer.from('SGVsbG8=', 'base64').toString('utf8');
console.log(decoded); // "Hello"

// Variante URL-safe in Node.js
const urlSafe = Buffer.from('Hello').toString('base64url');
console.log(urlSafe); // "SGVsbG8" (senza padding)

L'opzione di codifica base64url (disponibile dal Node.js 16) gestisce automaticamente la sostituzione dei caratteri e la rimozione del padding, rendendola molto più facile della trasformazione manuale.

Per gli ambienti browser che devono gestire file binari grandi, il metodo FileReader.readAsDataURL codifica il file come data URI Base64 senza caricare tutto in memoria in una volta.

Quando Usare Base64

Incorporare dati binari in protocolli solo testo

Il caso d'uso originale di Base64 era la codifica degli allegati email binari in SMTP, un protocollo che supporta solo testo ASCII a 7 bit. Lo stesso principio si applica ovunque sia necessario includere dati binari in un formato che non può gestire byte grezzi: payload API JSON, documenti XML, attributi HTML, valori CSS, header HTTP.

Data URI per piccole risorse

CSS e HTML consentono di incorporare immagini, font e SVG come data URI Base64. Questo elimina un round-trip HTTP per piccole risorse come icone ed elimina il flash di contenuto non stilizzato per le immagini critiche above-the-fold.

<!-- Icona SVG inline come data URI Base64 -->
<img src="data:image/svg+xml;base64,PHN2ZyB4bWxucz0iaHR0c..." alt="icona" />

<!-- Sfondo CSS inline -->
.icon {
  background-image: url("data:image/png;base64,iVBORw0KGgo...");
}

Il compromesso: i data URI Base64 non possono essere memorizzati nella cache separatamente dal file HTML/CSS che li contiene. Se l'immagine non cambia mai ma il codice HTML circostante sì, il browser riscarica i dati dell'immagine ad ogni ricaricamento della pagina. Usa i data URI solo per piccole risorse (idealmente sotto i 4 KB) dove l'eliminazione di un round-trip supera la penalità di cache.

Codifica dati binari per JSON o parametri URL

JSON è un formato di testo — non può rappresentare direttamente byte binari grezzi. Quando un'API deve trasmettere dati binari (miniature di immagini, firme crittografiche, dati compressi), Base64 è il modo standard per includerli in un payload JSON. Allo stesso modo, se hai bisogno di passare dati binari in un parametro di query URL, la codifica Base64url garantisce che i dati sopravvivano alla codifica percentuale senza corruzione.

JWT e altri formati di token

I token JWT usano Base64url per codificare le loro sezioni header e payload. Questo rende il token una stringa stampabile e URL-safe che può essere passata negli header HTTP, nei cookie o nei parametri URL. La codifica non è per la sicurezza (il payload è leggibile da chiunque abbia il token) — è puramente per la trasmissione sicura.

Quando NON Usare Base64

Sicurezza o riservatezza

Base64 non fornisce zero sicurezza. È banalmente reversibile in millisecondi. Non usarla per "offuscare" password, chiavi API o valori di configurazione sensibili. Qualsiasi sviluppatore che vede una stringa Base64 la decodificherà immediatamente. Se hai bisogno di riservatezza, usa la crittografia.

Archiviazione delle password

Archiviare password codificate in Base64 è uguale ad archiviarle in testo semplice — la codifica è istantaneamente reversibile. Le password devono essere hashate con una funzione di hashing delle password appropriata come bcrypt, Argon2 o scrypt.

File binari grandi

Codificare un file da 10 MB in Base64 produce una stringa da 13,7 MB. Se la archivi in una colonna del database, la cerchi o la trasmetti su un'API, paghi l'overhead del 33% ogni volta. Per i dati binari grandi, usa un archivio binario dedicato: colonne BLOB/BYTEA del database, object storage come S3 o GCS, o trasmetti il binario direttamente.

Situazioni in cui puoi usare il binario direttamente

Se il tuo protocollo o formato supporta il binary grezzo — ad esempio, un WebSocket con tipo di messaggio binario, un upload HTTP multipart/form-data o un formato di file binario — usa il binario direttamente. Base64 è necessario solo quando il mezzo di trasporto genuinamente non può gestire i byte grezzi.

Insidie Comuni

Confondere la codifica con la crittografia

Questo è l'errore più comune. Base64 è visibile. Non è un meccanismo di sicurezza. I commenti del codice come "la password è archiviata codificata in Base64 per sicurezza" indicano un grave malinteso che dovrebbe essere catturato nella code review.

Usare btoa() con stringhe Unicode

Chiamare btoa() su una stringa che contiene caratteri con code point superiori a 255 lancia un DOMException: Failed to execute 'btoa': The string to be encoded contains characters outside of the Latin1 range. Converti sempre in Uint8Array via TextEncoder prima di codificare stringhe che potrebbero contenere caratteri Unicode.

Dimenticare il padding durante la decodifica

Le stringhe Base64 devono avere lunghezze multiple di 4. Se una stringa Base64 è stata generata senza padding (comune nella codifica URL-safe), devi aggiungere il numero corretto di caratteri = prima di decodificarla. Una stringa Base64 di lunghezza n necessita di (4 - n % 4) % 4 caratteri di padding. Dimenticarlo causa errori di decodifica difficili da diagnosticare.

Doppia codifica

Una stringa Base64 è essa stessa ASCII valido, quindi btoa(btoa(data)) funziona senza errori ma produce output doppiamente codificato. Quando si passano valori Base64 attraverso più livelli di serializzazione (JSON dentro JSON, per esempio), è facile codificare gli stessi dati due volte. Decodifica sempre esattamente tante volte quante hai codificato.

Riferimento Rapido: Base64 in Pratica

Per codificare e decodificare nel browser senza scrivere codice, l'encoder/decoder Base64 di Toova gira interamente nel tuo browser — nessun round-trip al server. Supporta le varianti standard e URL-safe, il caricamento di file per codificare file binari e output sia in testo che in hex per i dati decodificati.

Se stai lavorando con contenuto codificato all'interno degli URL, l'encoder/decoder URL gestisce separatamente la codifica percentuale rispetto a Base64. Per le entità HTML, il convertitore di entità HTML gestisce l'escape dei caratteri nei contesti HTML. Questi sono schemi di codifica distinti — ciascuno ha un caso d'uso specifico.

Il riferimento canonico per Base64 è RFC 4648, che definisce Base64 standard (Sezione 4), Base64url (Sezione 5) e Base32 (Sezioni 6-7). Per le API browser btoa() e atob(), la documentazione MDN per btoa() copre la compatibilità del browser e la limitazione Unicode in dettaglio.

Riepilogo

La codifica Base64 converte i dati binari in ASCII stampabile usando un alfabeto di 64 caratteri. Aumenta la dimensione dei dati del 33%, è completamente reversibile e non fornisce sicurezza. Usala quando hai bisogno di incorporare dati binari in un formato basato su testo — payload JSON, data URI HTML, token JWT, allegati email, parametri URL. Evitala quando hai bisogno di sicurezza, quando il trasporto supporta direttamente il binario, o quando l'overhead del 33% conta su scala.

Capire cos'è Base64 — e cosa non è — previene gli errori più comuni: usarla per la sicurezza, applicarla a file grandi inutilmente, e confonderla con altri schemi di codifica come la codifica URL o le entità HTML. Ogni schema di codifica risolve un problema specifico. Base64 ne risolve esattamente uno: rendere i dati binari sicuri per i canali solo testo.

Pronto a codificare o decodificare? Prova l'encoder/decoder Base64 di Toova — incolla testo o trascina un file, alterna tra standard e URL-safe e copia il risultato. Nessun account, nessun server, nessun limite.