Saltar al contenido
>_ITDITDPlataforma de seguridad web

Generador / Verificador de CSP

Pega una Content-Security-Policy para detectar al instante directivas peligrosas (unsafe-inline, comodines, …) y obtener una política inicial más estricta. Todo se ejecuta en tu navegador.

Todo se ejecuta en tu navegador. Tus datos nunca se envían a un servidor.

Pega una CSP arriba para ver el análisis.

Política inicial estricta

Úsala como base y añade solo los orígenes que tu sitio realmente necesita.

default-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'none'; script-src 'self'; style-src 'self'; img-src 'self' data:; font-src 'self'; connect-src 'self'; form-action 'self'; upgrade-insecure-requests

Cómo usarla

  1. 1

    Copia el valor de Content-Security-Policy de los encabezados de respuesta de tu sitio y pégalo arriba.

  2. 2

    Cada directiva se analiza y los valores peligrosos se enumeran con su gravedad.

  3. 3

    Parte de la política estricta de abajo y añade solo los orígenes que tu sitio realmente necesita.

Por qué importa

La CSP es una capa clave para reducir el impacto de XSS, pero permitir unsafe-inline o * anula la mayor parte de su valor. La regla general: empieza con una default-src 'self' estricta y añade solo los orígenes mínimos que necesites.

Preguntas frecuentes

Q¿Se envía a algún sitio la política que pego?
A

No. Todo el análisis se ejecuta en tu navegador (JavaScript); tus datos nunca se envían a un servidor.

Q¿Por qué es peligroso unsafe-inline?
A

Permitir scripts/estilos en línea significa que el código inyectado mediante XSS también puede ejecutarse, lo que anula gran parte de la protección de la CSP. En su lugar, usa nonces o hashes.

Páginas relacionadas