Налаштування

Оцінка
-
Критичні
0
Попередження
0
Пройдено
0

Знахідки

Нормалізовані directives

Що таке CSP Evaluator?

CSP Evaluator перевіряє Content-Security-Policy header і показує directives, які можуть послаблювати браузерний захист.

Це корисно для налаштування XSS-захисту, ревʼю application headers, порівняння policies і підготовки строгішої production CSP.

Як користуватися CSP Evaluator

  1. Встав Content-Security-Policy header у поле вводу.
  2. Натисни «Оцінити CSP» або увімкни автоматичну оцінку.
  3. Переглянь критичні знахідки, попередження, пройдені checks і нормалізований список directives.
  4. Онови server configuration і протестуй ще раз.

Пов’язані гайди

Дізнайся workflow за цим інструментом і що перевіряти далі.

Перевірки CSP перед deploying stricter security policy

Content Security Policy може зменшити XSS risk, але unsafe directives, missing fallbacks, report-only testing і third-party scripts потребують review.

Приберіть unsafe script rules

Перегляньте unsafe-inline, unsafe-eval, wildcards, data sources і broad HTTPS allowances перед тим, як вважати policy strong.

Встановіть critical directives

Перевірте default-src, script-src, object-src, base-uri, frame-ancestors і form-action для protections, які потрібні app.

Використовуйте report-only rollout

Тестуйте policy changes через Content-Security-Policy-Report-Only перед enforcement на production traffic.

Відстежуйте third-party dependencies

Документуйте analytics, ads, chat, CDN і payment domains, щоб future vendors не послабили policy випадково.

Приватність і використання

Швидкі перевірки без акаунта

Toolinix створений для коротких developer tasks: вставити безпечний приклад, перевірити результат, скопіювати потрібне й рухатися далі.

Без логіну

Інструменти можна використовувати без акаунта, підписки на розсилку або збереження робочого простору.

Локально, коли можливо

Форматери, генератори, енкодери та текстові утиліти зазвичай працюють у браузері. Network diagnostics можуть потребувати server-assisted lookup для перевірки публічних URL, доменів або IP.

Не вставляй секрети

Не вставляй production passwords, private keys, access tokens, дані клієнтів або regulated data в онлайн-інструменти, якщо це не дозволено твоєю security policy.

Пов’язані інструменти

Можливо, тобі також стануть у пригоді ці інструменти.

CSP Evaluator FAQ

Інструмент сам завантажує headers мого сайту?
Ні. CSP header треба вставити вручну. Для сканування URL використовуй Security Headers Checker.
unsafe-inline завжди погано?
Для scripts це послаблює CSP. Іноді його лишають під час міграцій, але nonce або hash based policy безпечніші.
Чи кожна policy має містити frame-ancestors?
Більшість web apps мають встановлювати frame-ancestors для зниження clickjacking-ризику, якщо embedding не потрібен навмисно.
Мій CSP зберігається?
Ні. Оцінка виконується у твоєму браузері.