Disabilita l'offuscamento email di Cloudflare: danneggia i tuoi Core Web Vitals

Cos'è l'offuscamento email di Cloudflare?

L'offuscamento degli indirizzi email di Cloudflare (Email Address Obfuscation) è una funzionalità di Scrape Shield che nasconde gli indirizzi email presenti sulle tue pagine ai raccoglitori di email e ai bot, mantenendoli visibili ai visitatori umani. È abilitata per impostazione predefinita su ogni zona Cloudflare.

Ultima revisione a cura di Arjen Karel a marzo 2026

Il funzionamento è semplice. L'edge proxy di Cloudflare scansiona il tuo HTML alla ricerca di qualsiasi cosa che sembri un indirizzo email. Sostituisce ogni indirizzo con una stringa esadecimale codificata in XOR e inietta uno script render-blocking chiamato email-decode.min.js per decodificare gli indirizzi nel browser. Lo script pesa circa 1.2 KB, viene eseguito in modo sincrono e si rimuove dal DOM dopo l'esecuzione.

Il problema: quello script non viene caricato con async o defer. Blocca il rendering (render-blocking). E lo fa per una funzionalità che la maggior parte dei visitatori non noterà né di cui avrà mai bisogno.

.

In che modo l'offuscamento email di Cloudflare influisce sui Core Web Vitals?

.

Lo script email-decode.min.js viene iniettato come risorsa render-blocking. Il browser deve scaricarlo, analizzarlo ed eseguirlo prima di poter continuare il rendering della pagina. Questo comporta tre conseguenze:

1. Compete per la larghezza di banda di rete durante la finestra critica di rendering, ritardando il Largest Contentful Paint.
2. Blocca il thread principale, il che può spingere l'Interaction to Next Paint nel territorio "richiede miglioramenti" (needs improvement).
3. Attiva fino a cinque avvisi di audit in Lighthouse: elimina le risorse che bloccano il rendering, evita le attività lunghe del thread principale, riduci i tempi di esecuzione di JavaScript, evita di concatenare richieste critiche e pubblica gli asset statici con criteri di cache efficaci.

L'impatto dipende dalla tua ottimizzazione LCP

Se il tuo LCP è già ben ottimizzato (rilevabile nel codice sorgente HTML, fetchpriority="high", non caricato in lazy loading e nessun altro script render-blocking), lo script email-decode da 1.2 KB aggiunge forse da 50 a 100 ms. Evidente in un audit Lighthouse, ma non catastrofico.

Ma se il tuo sito presenta già antipattern di tipo lento per errore (CSS render-blocking, immagine LCP non ottimizzata, fetchpriority mancante), questo script aggrava il danno. È un'ulteriore risorsa render-blocking in lotta per la larghezza di banda e il tempo del thread principale durante la finestra critica di rendering. Su siti con molteplici script render-blocking, gli utenti della Cloudflare Community hanno segnalato ritardi del FCP di 0.8 secondi e ritardi del LCP di oltre 2 secondi causati da questa combinazione.

La vera domanda è: perché accettare qualsiasi costo in termini di prestazioni per una funzionalità che utilizza una crittografia banalmente reversibile?

Effetti collaterali sulla SEO

Cloudflare sostituisce gli indirizzi email con link che puntano a /cdn-cgi/l/email-protection#[hex]. Questi URL restituiscono un errore 404 ai crawler, incluso Googlebot. Il risultato: errori "Soft 404" in Google Search Console. Strumenti di audit SEO come Ahrefs e Screaming Frog li segnalano come link interni interrotti, creando rumore che maschera reali problemi di scansione. Se utilizzi Cloudflare con l'offuscamento email abilitato, controlla il tuo rapporto di copertura in Search Console per individuare questi errori fantasma.

L'offuscamento email di Cloudflare è davvero sicuro?

Non esattamente. Cloudflare utilizza un cifrario XOR a singolo byte dove la chiave è incorporata nella stringa codificata stessa. Ogni sito protetto da Cloudflare utilizza lo stesso meccanismo di decodifica. A uno spammer basta implementare un solo decodificatore per estrarre gli indirizzi email da tutti i siti.

I ricercatori di sicurezza hanno dimostrato che la codifica è banalmente reversibile. Lo studio sull'offuscamento del 2026 di Spencer Mortensen ha testato 25 metodi diversi contro oltre 300 spammer distinti utilizzando indirizzi email honeypot. Persino una semplice tecnica CSS display:none ha ottenuto un tasso di blocco del 100% contro i raccoglitori. Non hai bisogno di un JavaScript render-blocking per nascondere un indirizzo email ai bot.

La soluzione più semplice: disabilitarlo in Cloudflare

Se non hai bisogno dell'offuscamento email (e la maggior parte dei siti non ne ha), semplicemente disattivalo:

1. Accedi alla tua dashboard di Cloudflare.
2. Vai su Security > Settings (o Scrape Shield sui layout della dashboard meno recenti).
3. Imposta Email Address Obfuscation su OFF.

Questo è tutto. Lo script render-blocking scompare immediatamente. Per una configurazione completa delle prestazioni su Cloudflare, consulta la migliore configurazione di Cloudflare per superare i Core Web Vitals.

Disabilita per pagina tramite Configuration Rules

Se desideri l'offuscamento email sulla tua pagina di contatto ma non sulle landing page ad alto traffico, utilizza una Configuration Rule (Regola di configurazione):

1. Vai su Rules > Configuration Rules.
2. Crea una nuova regola, assegnale un nome (es. "Disable email obfuscation on landing pages").
3. Imposta i criteri di corrispondenza (hostname, percorso URL, o entrambi).
4. Aggiungi l'impostazione Email Obfuscation e impostala su Off.
5. Distribuisci (Deploy).

Puoi anche esentare singoli indirizzi email nel tuo HTML avvolgendoli nei commenti: <!--email_off-->email@example.com<!--/email_off-->

Se hai bisogno di offuscamento: fallo da solo

Se desideri nascondere gli indirizzi email ai bot, ci sono modi molto migliori che non implicano l'esecuzione di script all'inizio del processo di rendering. L'approccio migliore: collegare un IntersectionObserver e decodificare l'email just-in-time quando scorre nella visualizzazione. Questo è lo stesso pattern defer until needed (rimanda fino a necessità) che utilizzo per tutto, dai video YouTube incorporati a Google Maps.

Crea l'email offuscata

<a
 class="email-hidden"
 href="#"
 data-email="aW5mb0BleGFtcGxlLmNvbQ==">
 [email-hidden]
</a>

Collega l'IntersectionObserver. Posiziona questo frammento di JavaScript in fondo alla pagina.

<script>
const emailtag = document.querySelector('.email-hidden');
let observer = new IntersectionObserver((entries) => {
  entries.map((entry) => {
    if (entry.isIntersecting) {
      let script = document.createElement('script');
      script.onload = function () {
        emaildecode(entry.target)
      };
      script.src = 'decode-email.js';
      document.head.appendChild(script);
    }
  });
}).observe(emailtag);
</script>

Carica lo script email-decode decode-email.js e sostituisci la funzione di decodifica email con una libreria di decodifica a tua scelta.

const emaildecode = (e) => {
	let email = atob(e.dataset.email);
	e.href = 'mailto:'+email;
	e.innerHTML = email;
}

Controlla i risultati

<a href="mailto:info@example.com">info@example.com</a>

L'email viene decodificata solo quando il visitatore la scorre rendendola visibile. Zero impatto sul LCP, zero impatto sull'INP e la codifica base64 non è meno sicura del cifrario XOR di Cloudflare. Per verificare il miglioramento con visitatori reali, configura un Real User Monitoring. I punteggi di Lighthouse sono utili per il debug, ma i dati sul campo provenienti dagli utenti reali sono ciò che Google utilizza per il posizionamento.