CSP Analizci
Bir Content-Security-Policy başlığını yapıştırın, anında güvenlik değerlendirmesi alın — ayrıştırılmış direktif tablosu, renk kodlu bulgular ve harf notu, tamamen tarayıcınızda.
Analiz edilecek politika
Hazır örnekler
F
Güvenlik notu
3Yüksek3Orta2Düşük
Bulgular
- Yüksek
script-src'unsafe-inline', herhangi bir satır içi <script> veya olay işleyicisinin çalışmasına izin vererek çoğu XSS korumasını etkisiz kılar — bunu nonce veya hash ile değiştirin. - Yüksek
script-src'unsafe-eval', eval() ve benzeri API'ler aracılığıyla dizeden koda çalıştırmaya izin verir; bu yaygın bir XSS açığıdır — mümkünse kaldırın. - Yüksek
script-srcBetikler için data: şemasına izin vermek, saldırganın yürütülebilir yükleri satır içine yerleştirmesine olanak tanır — bir betik direktifinde data: şemasına asla izin vermeyin. - Orta
script-srcGüvensiz bir http: kaynağı aktarım sırasında değiştirilebilir — bunun yerine https: kullanın. - Orta
style-src'unsafe-inline', rastgele satır içi stillere izin verir; bu da CSS yoluyla veri sızdırmaya olanak tanıyabilir — mümkünse hash ya da nonce tercih edin. - Orta
default-srcTek başına '*' joker karakteri, betik veya kaynakların herhangi bir kökenden gelmesine izin vererek direktifin amacını ortadan kaldırır. - Düşük
base-uribase-uri ayarlanmamış; enjekte edilen bir <base> etiketi göreli URL'leri yönlendirebilir. base-uri değerini 'none' veya 'self' yapın. - Düşük
frame-ancestorsframe-ancestors ayarlanmamış; sayfa herhangi bir yere gömülebilir ve tıklama hırsızlığına (clickjacking) açıktır. frame-ancestors değerini 'none' veya 'self' yapın.
Ayrıştırılan direktifler
| Direktif | Kaynaklar |
|---|---|
| default-src | * |
| script-src | 'self''unsafe-inline''unsafe-eval'data:http://cdn.example.com |
| style-src | 'self''unsafe-inline' |
Bu analizci hakkında
Not, tüm bulguların ağırlıklı bir puanıdır: yüksek önem düzeyindeki sorunlar (satır içi veya eval ile betik çalıştırma, joker veya data: betik kaynakları) en çok, tavsiyeler ise en az ağırlığa sahiptir. Sezgisel kurallar CSP Level 3 geleneklerini izler; ancak sonucu bir rehber olarak değerlendirin — doğru politika her zaman sayfanızın gerçekte neleri yüklediğine bağlıdır. Politikanız tamamen tarayıcıda analiz edilir ve bu sayfadan asla çıkmaz.