このツールはブラウザで即時実行できます。登録もサーバー処理も不要です。
このツールが役に立ちましたか?
byteflow.tools をインストールすると、起動が速くなり、オフラインでもツールを使えます。
インストールガイドこのツールが役に立ちましたか?
byteflow.tools をインストールすると、起動が速くなり、オフラインでもツールを使えます。
インストールガイドコンテンツセキュリティポリシーヘッダーを解析し、セキュリティ問題を分析。
コンテンツ セキュリティ ポリシー文字列を読み取り可能なディレクティブに解析して、セキュリティのデバッグ、ポリシーの強化、ロールアウトの検証を高速化します。
CSP ヘッダーをディレクティブ レベルのセクションに分割して、検査とトラブルシューティングを容易にします。
これは、ホワイトリストの欠落、無効なキーワード、および過度に寛容なキーワードを識別するのに役立ちます。
ポリシーの差分と修復手順を確認しやすくすることで、安全なロールアウト ワークフローをサポートします。
ポリシー ヘッダー
default-src 'self'; script-src 'self' https://cdn.example.com; object-src 'none'
レポート専用サンプル
default-src 'self'; img-src * data:; report-uri /csp-report
レガシー ポリシー
script-src 'unsafe-inline' 'unsafe-eval' https:;
解析されたディレクティブ
default-src: ['self'] ; script-src: ['self', 'https://cdn.example.com']
リスクヒント
script-src で安全でないインラインが検出されました。 nonce/ハッシュ移行パスを評価します。
強化メモ
可能であれば、object-src 'none' と Base-uri 'self' を設定します。
ディレクティブのタイプミスは無視されます
CSP 仕様に照らしてディレクティブ名を検証します。
本番環境に安全でないキーワードが残っています
unsafe-inline を nonce またはハッシュ ベースのポリシーに置き換えます。
ワイルドカード ソースが広すぎます
ホストとプロトコルを必要最小限のオリジンに制限します。
ポリシーは環境によって異なります
バージョン管理ヘッダーとデプロイメント成果物を比較します。
CSPパーサー は、提出・公開・引き継ぎの前に行う迅速な検証ステップとして運用するのが適切です。
最初にレポート専用モードを使用する理由は何ですか?
より厳格なポリシーを適用する前に、破損のリスクが表面化します。
unsafe-inline は常に悪いものですか?
通常は推奨されません。 nonce/ハッシュ アプローチの方が安全です。
CSP はすべての XSS を停止できますか?
いいえ、CSP は強力な緩和層ですが、セキュア コーディングの完全な代替品ではありません。
CSP はどのくらいの頻度でレビューする必要がありますか?
すべての主要なフロントエンド依存関係またはアセット パイプラインで変更。