Анализирует заголовок Content-Security-Policy: разбирает директивы и выявляет опасные конфигурации.
CSP Analyzer от 101ip.ru — это бесплатный онлайн инструмент для анализа заголовков Content-Security-Policy (CSP). С его помощью вы можете быстро проверить, насколько грамотно настроена политика безопасности контента вашего сайта. CSP — это мощный HTTP-заголовок, который защищает от XSS-атак, кликджекинга и инжекции скриптов. Наш детектор автоматически парсит все директивы, находит unsafe-inline, unsafe-eval, wildcards и оценивает качество политики по шкале A–F.
Просто введите URL сайта, и анализатор выдаст полный отчет: какие источники разрешены для скриптов, стилей, шрифтов и фреймов, а также покажет слабые места. Это незаменимый помощник для веб-разработчика, SEO-специалиста и владельца сайта, заботящегося о безопасности.
Инструмент осуществляет глубокий парсинг директив Content-Security-Policy, извлекая все правила, заданные в заголовке. Он разбивает политику на отдельные директивы: default-src, script-src, style-src, img-src, connect-src, frame-ancestors и другие. Для каждой директивы анализатор определяет разрешённые источники — это могут быть домены (например, *.googleapis.com), схемы (https:) или ключевые слова ('self', 'none').
Результат парсинга представлен в понятной таблице, где каждый блок правил подсвечен цветом: зелёный — безопасные ограничения, жёлтый — предупреждения, красный — критические уязвимости. Вы сразу видите, какие источники разрешены для выполнения скриптов, загрузки изображений или подключения внешних ресурсов.
Особая функция инструмента — поиск опасных конструкций: unsafe-inline и unsafe-eval. Если в политике присутствует 'unsafe-inline', это означает, что сайт разрешает выполнение любых inline-скриптов (например, <script>alert(1)</script>), что делает его уязвимым для XSS-атак. 'unsafe-eval' позволяет использовать eval(), setTimeout(string) и другие динамические выполнения кода, что также крайне рискованно.
CSP Analyzer мгновенно находит такие строки в директиве script-src или default-src и помечает их как критические ошибки. В отчёте вы увидите конкретную директиву и расположение опасного значения. Инструмент также ищет wildcards (символы *), которые разрешают доступ ко всем поддоменам или протоколам — например, *.example.com или https://*. Wildcards часто являются причиной утечки данных, поэтому анализатор подсвечивает их.
На основе анализа всех директив инструмент выставляет оценку качества политики — от A (отлично) до F (провал). Оценка A присваивается за строгую политику без unsafe-inline, unsafe-eval и wildcards, с явным перечислением разрешённых источников. F — если политика отсутствует или полностью открыта (например, default-src *).
Система оценки учитывает:
report-uri или report-to для мониторинга нарушений.Эта оценка помогает быстро понять, насколько надёжно защищён ваш сайт от атак. Если вы видите C или D — пора пересмотреть политику.
После анализа вы получаете не только оценку, но и конкретные рекомендации. Например, анализатор может предложить заменить 'unsafe-inline' на nonce или hash, чтобы разрешить только проверенные inline-скрипты. Или указать, какие wildcards стоит сузить до конкретных поддоменов.
Для веб-мастеров и SEO-специалистов особенно важно, что правильно настроенный CSP не блокирует легитимные скрипты аналитики (Google Analytics, Яндекс.Метрика), рекламные сети (AdSense) или социальные виджеты. Инструмент подсвечивает конфликты — например, если политика запрещает скрипты с домена cdn.example.com, а они реально используются на странице. Вы сможете скорректировать заголовок, чтобы сайт продолжал работать, оставаясь безопасным.
Директива 'unsafe-inline' разрешает выполнение любых inline-скриптов и стилей. Это крайне опасно, так как злоумышленник может внедрить свой код через XSS-уязвимость. Вместо этого рекомендуется использовать строгие nonce или hash для отдельных скриптов.
Оценка F означает, что политика отсутствует или содержит критические уязвимости, например, default-src * или разрешены unsafe-inline и unsafe-eval. Вам следует немедленно настроить заголовок CSP, ограничив скрипты только доверенными источниками и используя nonce/hash.
Скорее всего, ваша политика script-src не включает домены Google Analytics (например, 'www.googletagmanager.com'). Добавьте их в разрешённые источники. CSP Analyzer покажет, какие скрипты заблокированы, и вы сможете скорректировать директивы.