Avaliador CSP

Todas as ferramentas

Opções

Nota
-
Críticos
0
Avisos
0
Aprovados
0

Achados

Diretivas normalizadas

O que é um Avaliador CSP?

Um Avaliador CSP revisa um cabeçalho Content-Security-Policy e destaca diretivas que podem enfraquecer a proteção do navegador.

Ele é útil para ajustar defesas contra XSS, revisar cabeçalhos da aplicação, comparar políticas ou preparar uma CSP de produção mais rígida.

Como usar o Avaliador CSP

  1. Cole um cabeçalho Content-Security-Policy no campo de entrada.
  2. Clique em Avaliar CSP ou ative a avaliação automática.
  3. Revise achados críticos, avisos, checks aprovados e a lista normalizada de diretivas.
  4. Ajuste a configuração do servidor e teste novamente.

Guias relacionados

Entenda o workflow por trás desta ferramenta e o que revisar depois.

Verificações de CSP antes de implantar uma security policy mais rígida

Content Security Policy pode reduzir XSS risk, mas unsafe directives, missing fallbacks, report-only testing e third-party scripts precisam de revisão.

Remova unsafe script rules

Revise unsafe-inline, unsafe-eval, wildcards, data sources e broad HTTPS allowances antes de tratar uma policy como forte.

Defina critical directives

Confira default-src, script-src, object-src, base-uri, frame-ancestors e form-action para as protections que a app precisa.

Use rollout report-only

Teste policy changes com Content-Security-Policy-Report-Only antes de enforcing em production traffic.

Controle third-party dependencies

Documente analytics, ads, chat, CDN e payment domains para que future vendors não enfraqueçam a policy por acidente.

Privacidade e uso

Verificações rápidas sem conta

Toolinix foi feito para tarefas curtas de desenvolvimento: cole uma amostra segura, revise o resultado, copie o que precisa e siga em frente.

Sem login

Você pode usar as ferramentas sem criar conta, assinar newsletter ou salvar um workspace.

Local quando possível

Formatadores, geradores, codificadores e utilitários de texto geralmente rodam no navegador. Diagnósticos de rede podem precisar de uma consulta assistida pelo servidor para verificar URLs, domínios ou IPs públicos.

Não cole segredos

Não cole senhas de produção, chaves privadas, tokens de acesso, dados de clientes ou dados regulados em ferramentas online, a menos que sua própria política de segurança permita.

Ferramentas relacionadas

Você também pode achar essas ferramentas úteis.

FAQ do CSP Evaluator

Esta ferramenta busca os cabeçalhos do meu site?
Não. Cole o cabeçalho CSP manualmente. Use o Security Headers Checker se quiser escanear uma URL.
unsafe-inline é sempre ruim?
Ele enfraquece a CSP para scripts. Às vezes é usado durante migrações, mas uma política baseada em nonce ou hash é mais segura.
Toda política deve incluir frame-ancestors?
A maioria das web apps deve definir frame-ancestors para reduzir clickjacking, exceto quando embedding for intencional.
Minha CSP é armazenada?
Não. A avaliação acontece no seu navegador.