Analisador de CSP
Cole o valor de um cabeçalho Content-Security-Policy para ver cada diretiva explicada em português simples e cada risco sinalizado por severidade — tudo no seu navegador.
O Analisador de CSP analisa e pontua seu Content-Security-Policy inteiramente no seu navegador. O valor do cabeçalho que você cola nunca sai do seu dispositivo e nada é enviado à ArrayKit.
Abrir o Gerador de Cabeçalho CSP
Sobre Analisador de CSP
O Analisador de CSP pega o valor de um cabeçalho Content-Security-Policy e o divide em uma tabela por diretiva, explicando o que cada diretiva controla em português simples. Depois ele audita a política em busca das fraquezas que silenciosamente derrotam o CSP: 'unsafe-inline' e 'unsafe-eval' em fontes de script, curingas '*' isolados, origens http: inseguras, um esquema data: amplo demais, e fortalecimento ausente como default-src, object-src 'none', frame-ancestors e base-uri. Cada achado carrega uma severidade para você ver de relance se uma política está apertada ou vazando. É útil quando você está fortalecendo um site, revisando uma política que um framework gerou para você, ou depurando por que um CSP report-only ainda permite scripts inline. Tudo é analisado e pontuado no seu dispositivo — o cabeçalho que você cola nunca é enviado.
Recursos
- Analisa qualquer valor de Content-Security-Policy em uma tabela limpa por diretiva
- Explica cada diretiva (script-src, frame-ancestors, base-uri…) em português simples
- Sinaliza 'unsafe-inline' e 'unsafe-eval' em fontes de script como risco alto
- Detecta curingas '*' isolados e fontes http: inseguras
- Alerta sobre default-src, object-src 'none', frame-ancestors e base-uri ausentes
- Atribui uma severidade (alta / média / baixa / OK) a cada achado
- Aceita entrada com ou sem o nome do cabeçalho 'Content-Security-Policy:'
- Roda inteiramente no seu navegador — a política que você cola nunca sai do seu dispositivo
Como usar Analisador de CSP
- Copie o valor do cabeçalho Content-Security-Policy da configuração do servidor ou dos cabeçalhos de resposta
- Cole-o no analisador (o nome do cabeçalho inicial é opcional)
- Leia a tabela por diretiva para confirmar o que cada diretiva permite
- Percorra os achados, dos piores primeiro, e aperte as diretivas sinalizadas
Exemplo
Entrada
default-src 'self'; script-src 'self' 'unsafe-inline'; object-src 'none'
Saída
HIGH script-src 'unsafe-inline' permits inline scripts
MED frame-ancestors missing — page can be framed (clickjacking)
OK object-src 'none' blocks plugins (recommended)
O analisador sinaliza unsafe-inline como alto, aponta o frame-ancestors ausente e confirma object-src 'none'.
Erros comuns e solução de problemas
- A política tem script-src 'self' mas scripts inline ainda rodam. — Verifique se há 'unsafe-inline' em script-src (ou default-src como seu fallback). Remova-o e mude para nonces ou hashes para que só seus blocos inline sejam executados.
- O analisador alerta que default-src está ausente. — default-src é o fallback para a maioria das diretivas de fetch. Sem ele, qualquer diretiva que você não listou explicitamente fica sem restrição — adicione default-src 'self' ou 'none'.
- frame-ancestors é sinalizado mesmo com X-Frame-Options definido. — Navegadores modernos preferem frame-ancestors a X-Frame-Options. Adicione frame-ancestors 'self' ou 'none' ao CSP para que o enquadramento seja controlado pela política.
- Um curinga '*' em uma fonte é informado como risco. — '*' permite conteúdo de qualquer origem, derrotando o propósito daquela diretiva. Substitua-o pelos hosts https:// específicos dos quais você realmente carrega.
Perguntas frequentes
- O que o Analisador de CSP verifica?
- Ele analisa cada diretiva, explica o que ela controla e sinaliza fraquezas comuns: 'unsafe-inline' e 'unsafe-eval' em fontes de script, curingas '*' isolados, origens http: inseguras, um esquema data: amplo demais, e default-src, object-src 'none', frame-ancestors e base-uri ausentes.
- Por que 'unsafe-inline' é sinalizado como risco alto?
- 'unsafe-inline' deixa blocos <script> inline e atributos de manipulador de evento rodarem, que é exatamente o vetor de injeção que o CSP deveria bloquear. Ele efetivamente neutraliza o script-src, então o analisador o trata como um achado de alta severidade e sugere nonces ou hashes no lugar.
- Preciso incluir o nome do cabeçalho 'Content-Security-Policy:'?
- Não. Você pode colar a linha completa do cabeçalho ou só o valor da política. O analisador remove um prefixo 'Content-Security-Policy:' ou 'Content-Security-Policy-Report-Only:' inicial automaticamente antes de analisar.
- Por que o analisador alerta sobre um frame-ancestors ausente?
- Sem frame-ancestors, qualquer site pode incorporar sua página em um iframe, permitindo clickjacking. frame-ancestors é o substituto moderno do X-Frame-Options, então o analisador recomenda adicionar frame-ancestors 'self' ou 'none'.
- Isso valida que minha política está sintaticamente perfeita?
- Ele foca na postura de segurança em vez da gramática estrita. Ele lida com os formatos comuns que os navegadores aceitam — diretivas separadas por ponto e vírgula com fontes separadas por espaço — e aponta fontes arriscadas e fortalecimento ausente em vez de implicar com espaços em branco.
- O cabeçalho CSP que eu colo é enviado para algum lugar?
- Não. O Analisador de CSP analisa e pontua a política inteiramente no seu navegador. O valor do cabeçalho que você cola fica no seu dispositivo e nunca é enviado à ArrayKit.
Ferramentas relacionadas
- Gerador de CSP — Monte um cabeçalho Content-Security-Policy diretiva por diretiva, com trechos prontos, no navegador.
- Gerador de Meta Tags — Gere meta tags de SEO, Open Graph e Twitter Card a partir de um formulário, no navegador.
- Gerador de Header Cache-Control — Monte um header HTTP Cache-Control correto com alternadores simples e saída para nginx, Apache e meta.
- Decodificador X.509 — Leia subject, validade, SANs e fingerprints de um certificado.
- Gerador de .htaccess — Monte regras do Apache: HTTPS, redirecionamentos 301, gzip e cache.
Todas as ferramentas de ArrayKit