CSP Анализатор
Разбор Content-Security-Policy: директивы, уязвимости, оценка от A до F.
CSP Analyzer — парсит Content-Security-Policy заголовок сайта, валидирует синтаксис, оценивает grade A-F. Выявляет опасные директивы: unsafe-inline, unsafe-eval, wildcard в script-src. Генерирует рекомендации для переезда на nonce-based CSP.
CSP Заголовок
Директивы
Другие заголовки безопасности
Хотите еженедельную перепроверку?
Оставьте email — мы будем перезапускать эту проверку каждые 7 дней и предупредим, если что-то ухудшилось (SSL, DNS, headers). Бесплатно.
Отписаться — одним кликом из любого письма. Никому не передаём адрес. Подписываясь, соглашаетесь с политикой конфиденциальности.
Что такое Content Security Policy?
Content Security Policy (CSP) — HTTP-заголовок, указывающий браузеру, какие ресурсы (скрипты, стили, картинки) разрешено загружать. Грамотно настроенный CSP — одна из самых эффективных защит от XSS-атак. Инструмент получает CSP-заголовок, разбирает все директивы, выявляет опасные паттерны ('unsafe-inline', wildcard) и выставляет оценку от A (строгий) до F (отсутствует или нарушен).
Больше по теме
Часто задаваемые вопросы
Что такое Content-Security-Policy и зачем её проверять?
CSP — заголовок безопасности, ограничивающий источники загрузки скриптов, стилей, шрифтов и iframe. Защищает от XSS и data injection. Проверка выявляет слишком либеральные директивы (unsafe-inline, unsafe-eval, *), отсутствие критичных правил (default-src, script-src, object-src none) и правильность nonce.
Связанные гайды
Развёрнутые материалы по теме из базы знаний.
Автоматизируйте эту проверку
Настройте continuous monitoring и получайте алерт, когда что-то сломается. Не нужно помнить запускать вручную.