CSP Analyzer — анализ Content-Security-Policy онлайн

Сервис 101IP разбирает заголовок Content-Security-Policy сайта: показывает все директивы, выделяет опасные конфигурации и оценивает политику по шкале от A+ до F.

Что проверяется

• 'unsafe-inline' — разрешает встроенные скрипты и стили, основной вектор XSS;
• 'unsafe-eval' — разрешает eval() и динамическое создание кода;
• Wildcard * — разрешает загрузку ресурсов с любого хоста;
• data: URI — может использоваться для загрузки вредоносного контента;
• http: scheme — небезопасные HTTP-источники на HTTPS-сайте;
• Отсутствующие директивы — default-src, object-src, base-uri, frame-ancestors.

Шкала оценок

• A+ / A — политика строгая, критических проблем нет;
• B / C — есть недостатки, рекомендуется доработка;
• D / F — критические уязвимости, CSP практически не защищает.