CSP Analyzer
Проверьте Content Security Policy вашего сайта. Анализ директив, выявление уязвимостей XSS, кликджекинга и небезопасных настроек.
Что такое CSP?
Защита от XSS
CSP ограничивает источники скриптов, предотвращая выполнение вредоносного JavaScript при XSS уязвимостях.
Кликджекинг
Директива frame-ancestors заменяет устаревший X-Frame-Options и контролирует, в каких фреймах может отображаться страница.
Смешанный контент
upgrade-insecure-requests автоматически переводит HTTP ресурсы на HTTPS, устраняя предупреждения браузера.
О сервисе CSP Analyzer
Онлайн-анализ директив Content-Security-Policy. Валидация синтаксиса, проверка источников. Рекомендации по усилению и исправлению ошибок.
Часто задаваемые вопросы
CSP — заголовок, ограничивающий источники скриптов, стилей, изображений. Защищает от XSS и инъекций. Браузер блокирует ресурсы из неразрешённых доменов.
script-src по умолчанию разрешает только same-origin. Внешние CDN, inline-скрипты — заблокированы. Добавьте домены в script-src или используйте nonce/hash.
nonce — случайное значение для конкретного запроса, добавляется к тегу script. hash — хеш содержимого скрипта. Позволяют разрешить inline-скрипты без 'unsafe-inline'.
Используйте Content-Security-Policy-Report-Only. Браузер отправит отчёт о нарушениях, но не блокирует. Настройте report-uri для сбора.
Готовых универсальных CSP нет — каждый сайт уникален. Начните с report-only, смотрите отчёты, добавляйте источники. CSP Analyzer помогает проверить текущую политику.
Полезные статьи
Руководства и советы по теме
Связанные инструменты
Другие полезные сервисы reChecker