Pular para o conteúdo
>_ITDITDPlataforma de Segurança Web

Gerador / Verificador de CSP

Cole uma Content-Security-Policy para sinalizar instantaneamente diretivas arriscadas (unsafe-inline, curingas, …) e obter uma política inicial mais rígida. Tudo é executado no seu navegador.

Tudo é executado no seu navegador. Seus dados nunca são enviados a um servidor.

Cole uma CSP acima para ver a análise.

Política inicial rígida

Use isto como base e adicione apenas as origens que seu site realmente precisa.

default-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'none'; script-src 'self'; style-src 'self'; img-src 'self' data:; font-src 'self'; connect-src 'self'; form-action 'self'; upgrade-insecure-requests

Como usar

  1. 1

    Copie o valor de Content-Security-Policy dos cabeçalhos de resposta do seu site e cole acima.

  2. 2

    Cada diretiva é analisada e os valores arriscados são listados com a gravidade.

  3. 3

    Comece pela política rígida abaixo e adicione apenas as origens que seu site realmente precisa.

Por que importa

A CSP é uma camada essencial para reduzir o impacto de XSS — mas permitir unsafe-inline ou * elimina a maior parte do seu valor. A regra de ouro: comece com uma default-src 'self' rígida e adicione apenas as origens mínimas necessárias.

Perguntas frequentes

QA política que eu colo é enviada para algum lugar?
A

Não. Toda a análise é executada no seu navegador (JavaScript); seus dados nunca são enviados a um servidor.

QPor que unsafe-inline é perigoso?
A

Permitir scripts/estilos inline significa que o código injetado via XSS também pode ser executado, o que anula grande parte da proteção da CSP. Migre para nonces ou hashes.

Páginas relacionadas