Analisador de CSP

Cole o valor de um cabeçalho Content-Security-Policy para ver cada diretiva explicada em português simples e cada risco sinalizado por severidade — tudo no seu navegador.

O Analisador de CSP analisa e pontua seu Content-Security-Policy inteiramente no seu navegador. O valor do cabeçalho que você cola nunca sai do seu dispositivo e nada é enviado à ArrayKit.

Abrir o Gerador de Cabeçalho CSP

Sobre Analisador de CSP

O Analisador de CSP pega o valor de um cabeçalho Content-Security-Policy e o divide em uma tabela por diretiva, explicando o que cada diretiva controla em português simples. Depois ele audita a política em busca das fraquezas que silenciosamente derrotam o CSP: 'unsafe-inline' e 'unsafe-eval' em fontes de script, curingas '*' isolados, origens http: inseguras, um esquema data: amplo demais, e fortalecimento ausente como default-src, object-src 'none', frame-ancestors e base-uri. Cada achado carrega uma severidade para você ver de relance se uma política está apertada ou vazando. É útil quando você está fortalecendo um site, revisando uma política que um framework gerou para você, ou depurando por que um CSP report-only ainda permite scripts inline. Tudo é analisado e pontuado no seu dispositivo — o cabeçalho que você cola nunca é enviado.

Recursos

Como usar Analisador de CSP

  1. Copie o valor do cabeçalho Content-Security-Policy da configuração do servidor ou dos cabeçalhos de resposta
  2. Cole-o no analisador (o nome do cabeçalho inicial é opcional)
  3. Leia a tabela por diretiva para confirmar o que cada diretiva permite
  4. Percorra os achados, dos piores primeiro, e aperte as diretivas sinalizadas

Exemplo

Entrada

default-src 'self'; script-src 'self' 'unsafe-inline'; object-src 'none'

Saída

HIGH  script-src  'unsafe-inline' permits inline scripts
MED   frame-ancestors  missing — page can be framed (clickjacking)
OK    object-src  'none' blocks plugins (recommended)

O analisador sinaliza unsafe-inline como alto, aponta o frame-ancestors ausente e confirma object-src 'none'.

Erros comuns e solução de problemas

Perguntas frequentes

O que o Analisador de CSP verifica?
Ele analisa cada diretiva, explica o que ela controla e sinaliza fraquezas comuns: 'unsafe-inline' e 'unsafe-eval' em fontes de script, curingas '*' isolados, origens http: inseguras, um esquema data: amplo demais, e default-src, object-src 'none', frame-ancestors e base-uri ausentes.
Por que 'unsafe-inline' é sinalizado como risco alto?
'unsafe-inline' deixa blocos <script> inline e atributos de manipulador de evento rodarem, que é exatamente o vetor de injeção que o CSP deveria bloquear. Ele efetivamente neutraliza o script-src, então o analisador o trata como um achado de alta severidade e sugere nonces ou hashes no lugar.
Preciso incluir o nome do cabeçalho 'Content-Security-Policy:'?
Não. Você pode colar a linha completa do cabeçalho ou só o valor da política. O analisador remove um prefixo 'Content-Security-Policy:' ou 'Content-Security-Policy-Report-Only:' inicial automaticamente antes de analisar.
Por que o analisador alerta sobre um frame-ancestors ausente?
Sem frame-ancestors, qualquer site pode incorporar sua página em um iframe, permitindo clickjacking. frame-ancestors é o substituto moderno do X-Frame-Options, então o analisador recomenda adicionar frame-ancestors 'self' ou 'none'.
Isso valida que minha política está sintaticamente perfeita?
Ele foca na postura de segurança em vez da gramática estrita. Ele lida com os formatos comuns que os navegadores aceitam — diretivas separadas por ponto e vírgula com fontes separadas por espaço — e aponta fontes arriscadas e fortalecimento ausente em vez de implicar com espaços em branco.
O cabeçalho CSP que eu colo é enviado para algum lugar?
Não. O Analisador de CSP analisa e pontua a política inteiramente no seu navegador. O valor do cabeçalho que você cola fica no seu dispositivo e nunca é enviado à ArrayKit.

Ferramentas relacionadas

Todas as ferramentas de ArrayKit