CSP Analyzer — аналіз Content-Security-Policy анлайн

Сэрвіс 101IP разбірае загаловак Content-Security-Policy сайта: паказвае ўсе дырэктывы, вылучае небяспечныя канфігурацыі і ацэньвае палітыку па шкале ад A+ да F.

Што правяраецца

• 'unsafe-inline' — дазваляе ўбудаваныя скрыпты і стылі, асноўны вектар XSS;
• 'unsafe-eval' — дазваляе eval() і дынамічнае стварэнне кода;
• Wildcard * — дазваляе загрузку рэсурсаў з любога хаста;
• data: URI — можа выкарыстоўвацца для загрузкі шкоднаснага кантэнту;
• http: scheme — небяспечныя HTTP-крыніцы на HTTPS-сайце;
• Адсутныя дырэктывы — default-src, object-src, base-uri, frame-ancestors.

Шкала ацэнак

• A+ / A — строгая палітыка, крытычных праблем няма;
• B / C — ёсць недахопы, рэкамендуецца паляпшэнне;
• D / F — крытычныя ўразлівасці, CSP амаль не абараняе.