Evaluador CSP

Todas las herramientas

Opciones

Nota
-
Críticos
0
Advertencias
0
Correctos
0

Hallazgos

Directivas normalizadas

¿Qué es un Evaluador CSP?

Un Evaluador CSP revisa un encabezado Content-Security-Policy y resalta directivas que pueden debilitar la protección del navegador.

Es útil al ajustar defensas contra XSS, revisar encabezados de aplicaciones, comparar políticas o preparar una CSP de producción más estricta.

Cómo usar el Evaluador CSP

  1. Pegue un encabezado Content-Security-Policy en el campo de entrada.
  2. Haga clic en Evaluar CSP o active la evaluación automática.
  3. Revise hallazgos críticos, advertencias, checks correctos y la lista normalizada de directivas.
  4. Ajuste la configuración del servidor y pruebe de nuevo.

Guías relacionadas

Aprenda el workflow detrás de esta herramienta y qué revisar después.

Comprobaciones de CSP antes de desplegar una security policy más estricta

Content Security Policy puede reducir XSS risk, pero unsafe directives, missing fallbacks, report-only testing y third-party scripts requieren revisión.

Elimina unsafe script rules

Revisa unsafe-inline, unsafe-eval, wildcards, data sources y broad HTTPS allowances antes de considerar fuerte una policy.

Define critical directives

Comprueba default-src, script-src, object-src, base-uri, frame-ancestors y form-action para las protections que necesita la app.

Usa rollout report-only

Prueba policy changes con Content-Security-Policy-Report-Only antes de enforcing en production traffic.

Controla third-party dependencies

Documenta analytics, ads, chat, CDN y payment domains para que future vendors no debiliten la policy por accidente.

Privacidad y uso

Comprobaciones rápidas sin cuenta

Toolinix está pensado para tareas cortas de desarrollo: pegue una muestra segura, revise el resultado, copie lo necesario y continúe.

Sin inicio de sesión

Puede usar las herramientas sin crear una cuenta, suscribirse a un boletín ni guardar un espacio de trabajo.

Local cuando es posible

Los formateadores, generadores, codificadores y utilidades de texto suelen ejecutarse en el navegador. Los diagnósticos de red pueden necesitar una consulta asistida por servidor para comprobar URLs, dominios o IPs públicos.

No pegue secretos

No pegue contraseñas de producción, claves privadas, tokens de acceso, datos de clientes ni datos regulados en herramientas online salvo que su propia política de seguridad lo permita.

Herramientas relacionadas

Estas herramientas también pueden resultarle útiles.

Preguntas frecuentes sobre CSP Evaluator

¿Esta herramienta obtiene los encabezados de mi sitio?
No. Pegue el encabezado CSP manualmente. Use Security Headers Checker si desea escanear una URL.
¿unsafe-inline siempre es malo?
Debilita CSP para scripts. A veces se usa durante migraciones, pero una política basada en nonce o hash es más segura.
¿Toda política debe incluir frame-ancestors?
La mayoría de las web apps deberían establecer frame-ancestors para reducir clickjacking, salvo que el embedding sea intencional.
¿Se almacena mi CSP?
No. La evaluación ocurre en su navegador.