Avaliador CSP
Opções
Achados
Diretivas normalizadas
O que é um Avaliador CSP?
Um Avaliador CSP revisa um cabeçalho Content-Security-Policy e destaca diretivas que podem enfraquecer a proteção do navegador.
Ele é útil para ajustar defesas contra XSS, revisar cabeçalhos da aplicação, comparar políticas ou preparar uma CSP de produção mais rígida.
Como usar o Avaliador CSP
- Cole um cabeçalho Content-Security-Policy no campo de entrada.
- Clique em Avaliar CSP ou ative a avaliação automática.
- Revise achados críticos, avisos, checks aprovados e a lista normalizada de diretivas.
- Ajuste a configuração do servidor e teste novamente.
Guias relacionados
Entenda o workflow por trás desta ferramenta e o que revisar depois.
Como inspecionar problemas de autenticação JWT
Fluxo JWT para revisar claims, time values, permissões e signing assumptions sem tratar decode como verification.
Como validar um domínio antes do lançamento
Workflow de lançamento para confirmar DNS records, sinais de ownership, cobertura SSL e security headers no endpoint público.
Verificações de CSP antes de implantar uma security policy mais rígida
Content Security Policy pode reduzir XSS risk, mas unsafe directives, missing fallbacks, report-only testing e third-party scripts precisam de revisão.
Remova unsafe script rules
Revise unsafe-inline, unsafe-eval, wildcards, data sources e broad HTTPS allowances antes de tratar uma policy como forte.
Defina critical directives
Confira default-src, script-src, object-src, base-uri, frame-ancestors e form-action para as protections que a app precisa.
Use rollout report-only
Teste policy changes com Content-Security-Policy-Report-Only antes de enforcing em production traffic.
Controle third-party dependencies
Documente analytics, ads, chat, CDN e payment domains para que future vendors não enfraqueçam a policy por acidente.
Privacidade e uso
Verificações rápidas sem conta
Toolinix foi feito para tarefas curtas de desenvolvimento: cole uma amostra segura, revise o resultado, copie o que precisa e siga em frente.
Sem login
Você pode usar as ferramentas sem criar conta, assinar newsletter ou salvar um workspace.
Local quando possível
Formatadores, geradores, codificadores e utilitários de texto geralmente rodam no navegador. Diagnósticos de rede podem precisar de uma consulta assistida pelo servidor para verificar URLs, domínios ou IPs públicos.
Não cole segredos
Não cole senhas de produção, chaves privadas, tokens de acesso, dados de clientes ou dados regulados em ferramentas online, a menos que sua própria política de segurança permita.
Ferramentas relacionadas
Você também pode achar essas ferramentas úteis.