CSP Evaluator
Налаштування
Знахідки
Нормалізовані directives
Що таке CSP Evaluator?
CSP Evaluator перевіряє Content-Security-Policy header і показує directives, які можуть послаблювати браузерний захист.
Це корисно для налаштування XSS-захисту, ревʼю application headers, порівняння policies і підготовки строгішої production CSP.
Як користуватися CSP Evaluator
- Встав Content-Security-Policy header у поле вводу.
- Натисни «Оцінити CSP» або увімкни автоматичну оцінку.
- Переглянь критичні знахідки, попередження, пройдені checks і нормалізований список directives.
- Онови server configuration і протестуй ще раз.
Пов’язані гайди
Дізнайся workflow за цим інструментом і що перевіряти далі.
Як inspect JWT auth issues
JWT troubleshooting flow для claims, time values, permissions і signing assumptions без сприйняття decoding як verification.
Як validate domain перед launch
Launch workflow для перевірки DNS records, domain ownership signals, SSL coverage і security headers на public endpoint.
Перевірки CSP перед deploying stricter security policy
Content Security Policy може зменшити XSS risk, але unsafe directives, missing fallbacks, report-only testing і third-party scripts потребують review.
Приберіть unsafe script rules
Перегляньте unsafe-inline, unsafe-eval, wildcards, data sources і broad HTTPS allowances перед тим, як вважати policy strong.
Встановіть critical directives
Перевірте default-src, script-src, object-src, base-uri, frame-ancestors і form-action для protections, які потрібні app.
Використовуйте report-only rollout
Тестуйте policy changes через Content-Security-Policy-Report-Only перед enforcement на production traffic.
Відстежуйте third-party dependencies
Документуйте analytics, ads, chat, CDN і payment domains, щоб future vendors не послабили policy випадково.
Приватність і використання
Швидкі перевірки без акаунта
Toolinix створений для коротких developer tasks: вставити безпечний приклад, перевірити результат, скопіювати потрібне й рухатися далі.
Без логіну
Інструменти можна використовувати без акаунта, підписки на розсилку або збереження робочого простору.
Локально, коли можливо
Форматери, генератори, енкодери та текстові утиліти зазвичай працюють у браузері. Network diagnostics можуть потребувати server-assisted lookup для перевірки публічних URL, доменів або IP.
Не вставляй секрети
Не вставляй production passwords, private keys, access tokens, дані клієнтів або regulated data в онлайн-інструменти, якщо це не дозволено твоєю security policy.
Пов’язані інструменти
Можливо, тобі також стануть у пригоді ці інструменти.