Evaluador CSP
Opciones
Hallazgos
Directivas normalizadas
¿Qué es un Evaluador CSP?
Un Evaluador CSP revisa un encabezado Content-Security-Policy y resalta directivas que pueden debilitar la protección del navegador.
Es útil al ajustar defensas contra XSS, revisar encabezados de aplicaciones, comparar políticas o preparar una CSP de producción más estricta.
Cómo usar el Evaluador CSP
- Pegue un encabezado Content-Security-Policy en el campo de entrada.
- Haga clic en Evaluar CSP o active la evaluación automática.
- Revise hallazgos críticos, advertencias, checks correctos y la lista normalizada de directivas.
- Ajuste la configuración del servidor y pruebe de nuevo.
Guías relacionadas
Aprenda el workflow detrás de esta herramienta y qué revisar después.
Cómo inspeccionar problemas de autenticación JWT
Flujo JWT para revisar claims, time values, permisos y signing assumptions sin tratar decode como verification.
Cómo validar un dominio antes del lanzamiento
Flujo de lanzamiento para confirmar DNS records, señales de propiedad, cobertura SSL y security headers en el endpoint público.
Comprobaciones de CSP antes de desplegar una security policy más estricta
Content Security Policy puede reducir XSS risk, pero unsafe directives, missing fallbacks, report-only testing y third-party scripts requieren revisión.
Elimina unsafe script rules
Revisa unsafe-inline, unsafe-eval, wildcards, data sources y broad HTTPS allowances antes de considerar fuerte una policy.
Define critical directives
Comprueba default-src, script-src, object-src, base-uri, frame-ancestors y form-action para las protections que necesita la app.
Usa rollout report-only
Prueba policy changes con Content-Security-Policy-Report-Only antes de enforcing en production traffic.
Controla third-party dependencies
Documenta analytics, ads, chat, CDN y payment domains para que future vendors no debiliten la policy por accidente.
Privacidad y uso
Comprobaciones rápidas sin cuenta
Toolinix está pensado para tareas cortas de desarrollo: pegue una muestra segura, revise el resultado, copie lo necesario y continúe.
Sin inicio de sesión
Puede usar las herramientas sin crear una cuenta, suscribirse a un boletín ni guardar un espacio de trabajo.
Local cuando es posible
Los formateadores, generadores, codificadores y utilidades de texto suelen ejecutarse en el navegador. Los diagnósticos de red pueden necesitar una consulta asistida por servidor para comprobar URLs, dominios o IPs públicos.
No pegue secretos
No pegue contraseñas de producción, claves privadas, tokens de acceso, datos de clientes ni datos regulados en herramientas online salvo que su propia política de seguridad lo permita.
Herramientas relacionadas
Estas herramientas también pueden resultarle útiles.