在浏览器中即时运行此工具,无需注册且无需服务端处理。
工具信任状态
此工具的输入和输出会在当前浏览器中处理。
- 浏览器本地此工具的输入和输出会在当前浏览器中处理。
- 离线能力应用加载后,核心处理无需网络也可运行。
- 敏感输入除非已验证本地处理或已披露的网络边界,否则不要粘贴生产密钥。
- 开发者工具检查使用工具时打开 Network 面板以验证请求。
喜欢这个工具?
安装 byteflow.tools 可更快启动,并离线访问浏览器本地工具。外部请求工具在执行查询操作时仍需要网络。
安装指南工具信任状态
此工具的输入和输出会在当前浏览器中处理。
喜欢这个工具?
安装 byteflow.tools 可更快启动,并离线访问浏览器本地工具。外部请求工具在执行查询操作时仍需要网络。
安装指南解析内容安全策略头并分析安全问题。
将内容安全策略字符串解析为可读指令,以加快安全调试、策略加固和部署前验证。
它将 CSP 标头分解为指令级部分,以便于检查和故障排除。
它有助于识别缺失的允许列表、无效关键字和过度宽松的模式。
它通过使策略差异和补救步骤更易于审查来支持安全的推出工作流程。
策略标头
default-src 'self'; script-src 'self' https://cdn.example.com; object-src 'none'
仅报告示例
default-src 'self'; img-src * data:; report-uri /csp-report
旧策略
script-src 'unsafe-inline' 'unsafe-eval' https:;
已解析指令
default-src: ['self'] ; script-src: ['self', 'https://cdn.example.com']
风险提示
在 script-src 中检测到不安全内联;评估随机数/哈希迁移路径。
强化说明
尽可能设置 object-src 'none' 和 base-uri 'self'。
默默忽略指令拼写错误
根据 CSP 规范验证指令名称。
生产中留下不安全的关键字
用随机数或基于哈希的策略替换不安全内联。
通配符源太宽
将主机和协议限制为所需的最低来源。
环境之间的策略不同
版本控制标头并比较部署工件。
如需了解统一的隐私术语、本地处理模式、外部请求标记和 DevTools 验证流程,请查看信任中心。
CSP 解析器 应作为交付流程中的快速校验步骤,在提交、发布和交接前都建议执行一次。
为什么首先使用仅报告模式?
因为它可以在执行更严格策略之前先暴露潜在的破坏风险。
不安全内联总是不好吗?
通常不鼓励这样做; nonce/hash 方法更安全。
CSP 可以阻止所有 XSS 吗?
不,CSP 是一个强大的缓解层,但不能完全替代安全编码。
应该多久审查一次 CSP?
在每次主要的前端依赖项或资产管道更改时。