CSP Analyzer
Füge einen Content-Security-Policy-Header-Wert ein, um jede Direktive in klarem Deutsch erklärt und jedes Risiko nach Schweregrad markiert zu sehen — alles in deinem Browser.
Der CSP Analyzer parst und bewertet deine Content-Security-Policy vollständig in deinem Browser. Der Header-Wert, den du einfügst, verlässt niemals dein Gerät und nichts wird zu ArrayKit hochgeladen.
CSP Header Generator öffnen
Über CSP Analyzer
Der CSP Analyzer nimmt einen Content-Security-Policy-Header-Wert und zerlegt ihn in eine Tabelle pro Direktive, die in klarem Deutsch erklärt, was jede Direktive steuert. Anschließend prüft er die Policy auf die Schwächen, die CSP leise aushebeln: 'unsafe-inline' und 'unsafe-eval' in Script-Quellen, bloße '*'-Wildcards, unsichere http:-Origins, ein zu breites data:-Schema und fehlende Härtung wie default-src, object-src 'none', frame-ancestors und base-uri. Jeder Befund trägt einen Schweregrad, sodass du auf einen Blick siehst, ob eine Policy dicht oder undicht ist. Nützlich, wenn du eine Site härtest, eine von einem Framework generierte Policy prüfst oder debuggst, warum eine Report-Only-CSP weiterhin Inline-Scripts erlaubt. Alles wird auf deinem Gerät geparst und bewertet — der Header, den du einfügst, wird niemals hochgeladen.
Funktionen
- Parst jeden Content-Security-Policy-Wert in eine saubere Tabelle pro Direktive
- Erklärt jede Direktive (script-src, frame-ancestors, base-uri…) in klarem Deutsch
- Markiert 'unsafe-inline' und 'unsafe-eval' in Script-Quellen als hohes Risiko
- Erkennt bloße '*'-Wildcards und unsichere http:-Quellen
- Warnt bei fehlendem default-src, object-src 'none', frame-ancestors und base-uri
- Weist jedem Befund einen Schweregrad zu (hoch / mittel / niedrig / OK)
- Akzeptiert Eingaben mit oder ohne den Header-Namen 'Content-Security-Policy:'
- Läuft vollständig in deinem Browser — die Policy, die du einfügst, verlässt niemals dein Gerät
So verwendest du CSP Analyzer
- Kopiere den Content-Security-Policy-Header-Wert aus deiner Server-Konfiguration oder den Response-Headern
- Füge ihn in den Analyzer ein (der führende Header-Name ist optional)
- Lies die Tabelle pro Direktive, um zu bestätigen, was jede Direktive erlaubt
- Arbeite die Befunde ab, schlimmste zuerst, und ziehe die markierten Direktiven straffer
Beispiel
Eingabe
default-src 'self'; script-src 'self' 'unsafe-inline'; object-src 'none'
Ausgabe
HIGH script-src 'unsafe-inline' permits inline scripts
MED frame-ancestors missing — page can be framed (clickjacking)
OK object-src 'none' blocks plugins (recommended)
Der Analyzer markiert unsafe-inline als hoch, weist auf das fehlende frame-ancestors hin und bestätigt object-src 'none'.
Häufige Fehler & Fehlerbehebung
- Die Policy hat script-src 'self', aber Inline-Scripts laufen trotzdem. — Prüfe auf 'unsafe-inline' in script-src (oder default-src als dessen Fallback). Entferne es und wechsle zu Nonces oder Hashes, sodass nur deine Inline-Blöcke ausgeführt werden.
- Der Analyzer warnt, dass default-src fehlt. — default-src ist der Fallback für die meisten Fetch-Direktiven. Ohne ihn ist jede Direktive, die du nicht explizit gelistet hast, uneingeschränkt — füge default-src 'self' oder 'none' hinzu.
- frame-ancestors wird markiert, obwohl X-Frame-Options gesetzt ist. — Moderne Browser bevorzugen frame-ancestors gegenüber X-Frame-Options. Füge frame-ancestors 'self' oder 'none' zur CSP hinzu, damit das Framing von der Policy gesteuert wird.
- Eine Wildcard '*' in einer Quelle wird als Risiko gemeldet. — '*' erlaubt Inhalte von jeder Origin und macht den Zweck dieser Direktive zunichte. Ersetze sie durch die spezifischen https://-Hosts, von denen du tatsächlich lädst.
Häufig gestellte Fragen
- Worauf prüft der CSP Analyzer?
- Er parst jede Direktive, erklärt, was sie steuert, und markiert häufige Schwächen: 'unsafe-inline' und 'unsafe-eval' in Script-Quellen, bloße '*'-Wildcards, unsichere http:-Origins, ein zu breites data:-Schema und fehlendes default-src, object-src 'none', frame-ancestors und base-uri.
- Warum wird 'unsafe-inline' als hohes Risiko markiert?
- 'unsafe-inline' lässt Inline-<script>-Blöcke und Event-Handler-Attribute laufen, was genau der Injektionsvektor ist, den CSP blockieren soll. Es neutralisiert script-src effektiv, daher behandelt der Analyzer es als Befund mit hohem Schweregrad und schlägt stattdessen Nonces oder Hashes vor.
- Muss ich den Header-Namen 'Content-Security-Policy:' einschließen?
- Nein. Du kannst entweder die vollständige Header-Zeile oder nur den Policy-Wert einfügen. Der Analyzer entfernt einen führenden 'Content-Security-Policy:'- oder 'Content-Security-Policy-Report-Only:'-Präfix automatisch vor dem Parsen.
- Warum warnt der Analyzer vor einem fehlenden frame-ancestors?
- Ohne frame-ancestors kann jede Site deine Seite in einem iframe einbetten, was Clickjacking ermöglicht. frame-ancestors ist der moderne Ersatz für X-Frame-Options, daher empfiehlt der Analyzer, frame-ancestors 'self' oder 'none' hinzuzufügen.
- Validiert dies, dass meine Policy syntaktisch perfekt ist?
- Er konzentriert sich auf die Sicherheitslage statt auf strikte Grammatik. Er verarbeitet die gängigen Formen, die Browser akzeptieren — durch Semikolon getrennte Direktiven mit durch Leerzeichen getrennten Quellen — und weist auf riskante Quellen und fehlende Härtung hin, statt an Leerzeichen zu mäkeln.
- Wird der CSP-Header, den ich einfüge, irgendwohin gesendet?
- Nein. Der CSP Analyzer parst und bewertet die Policy vollständig in deinem Browser. Der Header-Wert, den du einfügst, bleibt auf deinem Gerät und wird niemals zu ArrayKit hochgeladen.
Verwandte Tools
- CSP-Generator — Einen Content-Security-Policy-Header Direktive für Direktive bauen.
- Meta-Tag-Generator — SEO-, Open Graph- und Twitter Card-Meta-Tags aus einem Formular erzeugen.
- Cache-Control-Generator — Aus einfachen Schaltern einen korrekten HTTP-Cache-Control-Header bauen, mit nginx-, Apache- und meta-Ausgabe.
- X.509 Certificate Decoder — Ein PEM- oder DER-Zertifikat zu Subject, SANs, Gültigkeit und Fingerprints dekodieren.
- .htaccess-Generator — Baue Apache-Regeln für HTTPS, Redirects und Caching.
Alle ArrayKit-Tools