CSP Analyzer

Анализирует заголовок Content-Security-Policy: разбирает директивы и выявляет опасные конфигурации.

Протокол можно не указывать — по умолчанию используется HTTPS.

Онлайн анализ Content-Security-Policy: безопасность вашего сайта под контролем

CSP Analyzer от 101ip.ru — это бесплатный онлайн инструмент для анализа заголовков Content-Security-Policy (CSP). С его помощью вы можете быстро проверить, насколько грамотно настроена политика безопасности контента вашего сайта. CSP — это мощный HTTP-заголовок, который защищает от XSS-атак, кликджекинга и инжекции скриптов. Наш детектор автоматически парсит все директивы, находит unsafe-inline, unsafe-eval, wildcards и оценивает качество политики по шкале A–F.

Просто введите URL сайта, и анализатор выдаст полный отчет: какие источники разрешены для скриптов, стилей, шрифтов и фреймов, а также покажет слабые места. Это незаменимый помощник для веб-разработчика, SEO-специалиста и владельца сайта, заботящегося о безопасности.

Парсинг директив CSP: как работает анализатор

Инструмент осуществляет глубокий парсинг директив Content-Security-Policy, извлекая все правила, заданные в заголовке. Он разбивает политику на отдельные директивы: default-src, script-src, style-src, img-src, connect-src, frame-ancestors и другие. Для каждой директивы анализатор определяет разрешённые источники — это могут быть домены (например, *.googleapis.com), схемы (https:) или ключевые слова ('self', 'none').

Результат парсинга представлен в понятной таблице, где каждый блок правил подсвечен цветом: зелёный — безопасные ограничения, жёлтый — предупреждения, красный — критические уязвимости. Вы сразу видите, какие источники разрешены для выполнения скриптов, загрузки изображений или подключения внешних ресурсов.

Поиск unsafe-inline и unsafe-eval: главные риски безопасности

Особая функция инструмента — поиск опасных конструкций: unsafe-inline и unsafe-eval. Если в политике присутствует 'unsafe-inline', это означает, что сайт разрешает выполнение любых inline-скриптов (например, <script>alert(1)</script>), что делает его уязвимым для XSS-атак. 'unsafe-eval' позволяет использовать eval(), setTimeout(string) и другие динамические выполнения кода, что также крайне рискованно.

CSP Analyzer мгновенно находит такие строки в директиве script-src или default-src и помечает их как критические ошибки. В отчёте вы увидите конкретную директиву и расположение опасного значения. Инструмент также ищет wildcards (символы *), которые разрешают доступ ко всем поддоменам или протоколам — например, *.example.com или https://*. Wildcards часто являются причиной утечки данных, поэтому анализатор подсвечивает их.

Оценка качества политики CSP от A до F

На основе анализа всех директив инструмент выставляет оценку качества политики — от A (отлично) до F (провал). Оценка A присваивается за строгую политику без unsafe-inline, unsafe-eval и wildcards, с явным перечислением разрешённых источников. F — если политика отсутствует или полностью открыта (например, default-src *).

Система оценки учитывает:

Эта оценка помогает быстро понять, насколько надёжно защищён ваш сайт от атак. Если вы видите C или D — пора пересмотреть политику.

Практическое применение: как улучшить CSP

После анализа вы получаете не только оценку, но и конкретные рекомендации. Например, анализатор может предложить заменить 'unsafe-inline' на nonce или hash, чтобы разрешить только проверенные inline-скрипты. Или указать, какие wildcards стоит сузить до конкретных поддоменов.

Для веб-мастеров и SEO-специалистов особенно важно, что правильно настроенный CSP не блокирует легитимные скрипты аналитики (Google Analytics, Яндекс.Метрика), рекламные сети (AdSense) или социальные виджеты. Инструмент подсвечивает конфликты — например, если политика запрещает скрипты с домена cdn.example.com, а они реально используются на странице. Вы сможете скорректировать заголовок, чтобы сайт продолжал работать, оставаясь безопасным.

Часто задаваемые вопросы

Смотрите также