İçeriğe geç
uxTools
Güvenlik & Kripto

CSP Analizci

Bir Content-Security-Policy başlığını yapıştırın, anında güvenlik değerlendirmesi alın — ayrıştırılmış direktif tablosu, renk kodlu bulgular ve harf notu, tamamen tarayıcınızda.

Analiz edilecek politika
Hazır örnekler
F
Güvenlik notu
3Yüksek3Orta2Düşük

Bulgular

  • Yüksekscript-src'unsafe-inline', herhangi bir satır içi <script> veya olay işleyicisinin çalışmasına izin vererek çoğu XSS korumasını etkisiz kılar — bunu nonce veya hash ile değiştirin.
  • Yüksekscript-src'unsafe-eval', eval() ve benzeri API'ler aracılığıyla dizeden koda çalıştırmaya izin verir; bu yaygın bir XSS açığıdır — mümkünse kaldırın.
  • Yüksekscript-srcBetikler için data: şemasına izin vermek, saldırganın yürütülebilir yükleri satır içine yerleştirmesine olanak tanır — bir betik direktifinde data: şemasına asla izin vermeyin.
  • Ortascript-srcGüvensiz bir http: kaynağı aktarım sırasında değiştirilebilir — bunun yerine https: kullanın.
  • Ortastyle-src'unsafe-inline', rastgele satır içi stillere izin verir; bu da CSS yoluyla veri sızdırmaya olanak tanıyabilir — mümkünse hash ya da nonce tercih edin.
  • Ortadefault-srcTek başına '*' joker karakteri, betik veya kaynakların herhangi bir kökenden gelmesine izin vererek direktifin amacını ortadan kaldırır.
  • Düşükbase-uribase-uri ayarlanmamış; enjekte edilen bir <base> etiketi göreli URL'leri yönlendirebilir. base-uri değerini 'none' veya 'self' yapın.
  • Düşükframe-ancestorsframe-ancestors ayarlanmamış; sayfa herhangi bir yere gömülebilir ve tıklama hırsızlığına (clickjacking) açıktır. frame-ancestors değerini 'none' veya 'self' yapın.

Ayrıştırılan direktifler

DirektifKaynaklar
default-src*
script-src'self''unsafe-inline''unsafe-eval'data:http://cdn.example.com
style-src'self''unsafe-inline'

Bu analizci hakkında

Not, tüm bulguların ağırlıklı bir puanıdır: yüksek önem düzeyindeki sorunlar (satır içi veya eval ile betik çalıştırma, joker veya data: betik kaynakları) en çok, tavsiyeler ise en az ağırlığa sahiptir. Sezgisel kurallar CSP Level 3 geleneklerini izler; ancak sonucu bir rehber olarak değerlendirin — doğru politika her zaman sayfanızın gerçekte neleri yüklediğine bağlıdır. Politikanız tamamen tarayıcıda analiz edilir ve bu sayfadan asla çıkmaz.