Перейти к содержимому
>_ITDITDПлатформа веб-безопасности

Конструктор / Проверка CSP

Вставьте Content-Security-Policy, чтобы мгновенно выявить опасные директивы (unsafe-inline, подстановочные символы и т. д.) и получить более строгую стартовую политику. Всё работает в вашем браузере.

Всё выполняется в вашем браузере. Введённые данные никогда не отправляются на сервер.

Вставьте CSP выше, чтобы увидеть результаты анализа.

Строгая стартовая политика

Используйте это как основу и добавляйте только те источники, которые действительно нужны вашему сайту.

default-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'none'; script-src 'self'; style-src 'self'; img-src 'self' data:; font-src 'self'; connect-src 'self'; form-action 'self'; upgrade-insecure-requests

Как пользоваться

  1. 1

    Скопируйте значение Content-Security-Policy из заголовков ответа вашего сайта и вставьте его выше.

  2. 2

    Каждая директива разбирается, а опасные значения перечисляются с указанием серьёзности.

  3. 3

    Начните со строгой политики ниже и добавляйте только те источники, которые действительно нужны вашему сайту.

Почему это важно

CSP — это ключевой уровень для снижения последствий XSS, но разрешение unsafe-inline или * сводит на нет большую часть его ценности. Главное правило: начните со строгой default-src 'self' и добавляйте только минимально необходимые источники.

Частые вопросы

QОтправляется ли куда-нибудь вставленная политика?
A

Нет. Весь разбор выполняется в вашем браузере (JavaScript); ваши данные никогда не отправляются на сервер.

QПочему unsafe-inline опасен?
A

Разрешение встроенных скриптов/стилей означает, что внедрённый через XSS код тоже может выполниться, что сводит на нет большую часть защиты CSP. Вместо этого переходите на nonce или hash.

Похожие страницы