Аналізуе загаловак Content-Security-Policy: разбірае дырэктывы і выяўляе небяспечныя канфігурацыі.
Сэрвіс 101IP разбірае загаловак Content-Security-Policy сайта: паказвае ўсе дырэктывы, вылучае небяспечныя канфігурацыі і ацэньвае палітыку па шкале ад A+ да F.
eval() і дынамічнае стварэнне кода;Дырэктыва 'unsafe-inline' дазваляе выкананне любых убудаваных скрыптоў і стыляў. Гэта вельмі небяспечна, бо зламыснік можа ўвесці свой код праз XSS-уразлівасць. Замест гэтага рэкамендуецца выкарыстоўваць строгія nonce або hash для асобных скрыптоў.
Адзнака F азначае, што палітыка адсутнічае або змяшчае крытычныя ўразлівасці, напрыклад, default-src * або дазволены unsafe-inline і unsafe-eval. Вам варта неадкладна наладзіць загаловак CSP, абмежаваўшы скрыпты толькі даверанымі крыніцамі і выкарыстоўваючы nonce/hash.
Хутчэй за ўсё, ваша дырэктыва script-src не ўключае дамены Google Analytics (напрыклад, www.googletagmanager.com). Дадайце іх у дазволеныя крыніцы. CSP Analyzer пакажа, якія скрыпты заблакаваны, і вы зможаце скарэктаваць дырэктывы, не аслабляючы агульную палітыку.