Analizador de CSP

Pega el valor de una cabecera Content-Security-Policy para ver cada directiva explicada en lenguaje claro y cada riesgo señalado por gravedad, todo en tu navegador.

El analizador de CSP interpreta y puntúa tu Content-Security-Policy por completo en tu navegador. El valor de cabecera que pegas nunca sale de tu dispositivo y nada se sube a ArrayKit.

Abre el generador de cabecera CSP

Acerca de Analizador de CSP

El analizador de CSP toma el valor de una cabecera Content-Security-Policy y lo desglosa en una tabla por directiva, explicando qué controla cada directiva en lenguaje claro. Luego audita la política en busca de las debilidades que en silencio derrotan a CSP: 'unsafe-inline' y 'unsafe-eval' en fuentes de scripts, comodines '*' sueltos, orígenes http: inseguros, un esquema data: demasiado amplio, y endurecimiento ausente como default-src, object-src 'none', frame-ancestors y base-uri. Cada hallazgo lleva una gravedad para que veas de un vistazo si una política es sólida o permeable. Es útil cuando estás endureciendo un sitio, revisando una política que un framework generó por ti, o depurando por qué una CSP en modo report-only todavía permite scripts en línea. Todo se analiza y puntúa en tu dispositivo: la cabecera que pegas nunca se sube.

Características

Cómo usar Analizador de CSP

  1. Copia el valor de la cabecera Content-Security-Policy de tu configuración de servidor o cabeceras de respuesta
  2. Pégalo en el analizador (el nombre de cabecera inicial es opcional)
  3. Lee la tabla por directiva para confirmar qué permite cada directiva
  4. Recorre los hallazgos, del peor primero, y endurece las directivas señaladas

Ejemplo

Entrada

default-src 'self'; script-src 'self' 'unsafe-inline'; object-src 'none'

Salida

HIGH  script-src  'unsafe-inline' permits inline scripts
MED   frame-ancestors  missing — page can be framed (clickjacking)
OK    object-src  'none' blocks plugins (recommended)

El analizador señala unsafe-inline como alto, nota la ausencia de frame-ancestors y confirma object-src 'none'.

Errores comunes y solución de problemas

Preguntas frecuentes

¿Qué comprueba el analizador de CSP?
Interpreta cada directiva, explica qué controla y señala debilidades comunes: 'unsafe-inline' y 'unsafe-eval' en fuentes de scripts, comodines '*' sueltos, orígenes http: inseguros, un esquema data: demasiado amplio, y la ausencia de default-src, object-src 'none', frame-ancestors y base-uri.
¿Por qué se señala 'unsafe-inline' como riesgo alto?
'unsafe-inline' deja ejecutar bloques <script> en línea y atributos de manejador de eventos, que es exactamente el vector de inyección que CSP debe bloquear. Neutraliza en la práctica a script-src, así que el analizador lo trata como un hallazgo de gravedad alta y sugiere nonces o hashes en su lugar.
¿Necesito incluir el nombre de cabecera 'Content-Security-Policy:'?
No. Puedes pegar la línea de cabecera completa o solo el valor de la política. El analizador elimina un prefijo inicial 'Content-Security-Policy:' o 'Content-Security-Policy-Report-Only:' automáticamente antes de interpretar.
¿Por qué el analizador advierte de la ausencia de frame-ancestors?
Sin frame-ancestors, cualquier sitio puede incrustar tu página en un iframe, habilitando el clickjacking. frame-ancestors es el reemplazo moderno de X-Frame-Options, así que el analizador recomienda añadir frame-ancestors 'self' o 'none'.
¿Esto valida que mi política sea sintácticamente perfecta?
Se centra en la postura de seguridad más que en la gramática estricta. Maneja las formas comunes que los navegadores aceptan —directivas separadas por punto y coma con fuentes separadas por espacios— y señala fuentes arriesgadas y endurecimiento ausente en lugar de detenerse en los espacios en blanco.
¿Se envía a algún sitio la cabecera CSP que pego?
No. El analizador de CSP interpreta y puntúa la política por completo en tu navegador. El valor de cabecera que pegas permanece en tu dispositivo y nunca se sube a ArrayKit.

Herramientas relacionadas

Todas las herramientas de ArrayKit