Разбор Content-Security-Policy: директивы, уязвимости, оценка от A до F.
Content Security Policy (CSP) — HTTP-заголовок, указывающий браузеру, какие ресурсы (скрипты, стили, картинки) разрешено загружать. Грамотно настроенный CSP — одна из самых эффективных защит от XSS-атак. Инструмент получает CSP-заголовок, разбирает все директивы, выявляет опасные паттерны ('unsafe-inline', wildcard) и выставляет оценку от A (строгий) до F (отсутствует или нарушен).
CSP — заголовок безопасности, ограничивающий источники загрузки скриптов, стилей, шрифтов и iframe. Защищает от XSS и data injection. Проверка выявляет слишком либеральные директивы (unsafe-inline, unsafe-eval, *), отсутствие критичных правил (default-src, script-src, object-src none) и правильность nonce.