CSP Analyzer

Füge einen Content-Security-Policy-Header-Wert ein, um jede Direktive in klarem Deutsch erklärt und jedes Risiko nach Schweregrad markiert zu sehen — alles in deinem Browser.

Der CSP Analyzer parst und bewertet deine Content-Security-Policy vollständig in deinem Browser. Der Header-Wert, den du einfügst, verlässt niemals dein Gerät und nichts wird zu ArrayKit hochgeladen.

CSP Header Generator öffnen

Über CSP Analyzer

Der CSP Analyzer nimmt einen Content-Security-Policy-Header-Wert und zerlegt ihn in eine Tabelle pro Direktive, die in klarem Deutsch erklärt, was jede Direktive steuert. Anschließend prüft er die Policy auf die Schwächen, die CSP leise aushebeln: 'unsafe-inline' und 'unsafe-eval' in Script-Quellen, bloße '*'-Wildcards, unsichere http:-Origins, ein zu breites data:-Schema und fehlende Härtung wie default-src, object-src 'none', frame-ancestors und base-uri. Jeder Befund trägt einen Schweregrad, sodass du auf einen Blick siehst, ob eine Policy dicht oder undicht ist. Nützlich, wenn du eine Site härtest, eine von einem Framework generierte Policy prüfst oder debuggst, warum eine Report-Only-CSP weiterhin Inline-Scripts erlaubt. Alles wird auf deinem Gerät geparst und bewertet — der Header, den du einfügst, wird niemals hochgeladen.

Funktionen

So verwendest du CSP Analyzer

  1. Kopiere den Content-Security-Policy-Header-Wert aus deiner Server-Konfiguration oder den Response-Headern
  2. Füge ihn in den Analyzer ein (der führende Header-Name ist optional)
  3. Lies die Tabelle pro Direktive, um zu bestätigen, was jede Direktive erlaubt
  4. Arbeite die Befunde ab, schlimmste zuerst, und ziehe die markierten Direktiven straffer

Beispiel

Eingabe

default-src 'self'; script-src 'self' 'unsafe-inline'; object-src 'none'

Ausgabe

HIGH  script-src  'unsafe-inline' permits inline scripts
MED   frame-ancestors  missing — page can be framed (clickjacking)
OK    object-src  'none' blocks plugins (recommended)

Der Analyzer markiert unsafe-inline als hoch, weist auf das fehlende frame-ancestors hin und bestätigt object-src 'none'.

Häufige Fehler & Fehlerbehebung

Häufig gestellte Fragen

Worauf prüft der CSP Analyzer?
Er parst jede Direktive, erklärt, was sie steuert, und markiert häufige Schwächen: 'unsafe-inline' und 'unsafe-eval' in Script-Quellen, bloße '*'-Wildcards, unsichere http:-Origins, ein zu breites data:-Schema und fehlendes default-src, object-src 'none', frame-ancestors und base-uri.
Warum wird 'unsafe-inline' als hohes Risiko markiert?
'unsafe-inline' lässt Inline-<script>-Blöcke und Event-Handler-Attribute laufen, was genau der Injektionsvektor ist, den CSP blockieren soll. Es neutralisiert script-src effektiv, daher behandelt der Analyzer es als Befund mit hohem Schweregrad und schlägt stattdessen Nonces oder Hashes vor.
Muss ich den Header-Namen 'Content-Security-Policy:' einschließen?
Nein. Du kannst entweder die vollständige Header-Zeile oder nur den Policy-Wert einfügen. Der Analyzer entfernt einen führenden 'Content-Security-Policy:'- oder 'Content-Security-Policy-Report-Only:'-Präfix automatisch vor dem Parsen.
Warum warnt der Analyzer vor einem fehlenden frame-ancestors?
Ohne frame-ancestors kann jede Site deine Seite in einem iframe einbetten, was Clickjacking ermöglicht. frame-ancestors ist der moderne Ersatz für X-Frame-Options, daher empfiehlt der Analyzer, frame-ancestors 'self' oder 'none' hinzuzufügen.
Validiert dies, dass meine Policy syntaktisch perfekt ist?
Er konzentriert sich auf die Sicherheitslage statt auf strikte Grammatik. Er verarbeitet die gängigen Formen, die Browser akzeptieren — durch Semikolon getrennte Direktiven mit durch Leerzeichen getrennten Quellen — und weist auf riskante Quellen und fehlende Härtung hin, statt an Leerzeichen zu mäkeln.
Wird der CSP-Header, den ich einfüge, irgendwohin gesendet?
Nein. Der CSP Analyzer parst und bewertet die Policy vollständig in deinem Browser. Der Header-Wert, den du einfügst, bleibt auf deinem Gerät und wird niemals zu ArrayKit hochgeladen.

Verwandte Tools

Alle ArrayKit-Tools