检查 Content-Security-Policy 里的危险 source、缺失 fallback、frame 控制、object-src、base-uri 和上报配置。
- 本地处理
- 分类 开发运维
- 适合 格式化、校验、压缩或检查和代码相关的文本。
- form-action: missing form submission restriction
- reporting: no CSP violation reporting endpoint
这个工具能做什么
CSP 策略审计器会检查粘贴的 Content-Security-Policy 响应头, 解释实际加固缺口。它会解析指令、列出 source、统计 nonce 和 hash, 并标记缺少 default-src、unsafe-inline、unsafe-eval、通配符和 data source、object-src 不够严格、缺少 frame-ancestors、缺少 base-uri、缺少 form-action、缺少 upgrade-insecure-requests、没有上报端点等问题。它适合收紧前端应用安全策略、排查 CSP 上线问题、复核第三方脚本、准备安全问卷、比较测试和生产响应头。工具只做本地静态分析, 不访问目标站点。结果可导出 Markdown、JSON 或 CSV, 方便进入 issue 和安全评审。
工具细节
- 输入
- 文件 + 文本 + 数值
- 页面会根据工具类型展示文本框、数值控件、文件选择或结构化输入。
- 输出
- 即时结果 + 复制 + 下载
- 结果区优先给出可操作结果,支持项会显示复制、下载或可视化预览。
- 隐私
- 浏览器本地处理
- 主工具逻辑未发现外部 API 调用,输入通常留在当前标签页内处理。
- 保存 / 分享
- 可分享链接状态
- 关键设置会进入 URL,复制链接后别人能复现同一组参数。
- 性能预算
- 首屏 JS ≤ 118 KB
- 没有声明 WASM 依赖,适合快速打开和移动端使用。
- 适用场景
- 开发运维 · 程序员
- 分类和职业标签用于推荐相关工具、组织内链,并帮助用户快速判断是否适合当前任务。
怎么用
-
1. 输入
把内容粘贴或拖入工具面板。
-
2. 处理
点击按钮,在浏览器内本地处理,文件不上传。
-
3. 复制 / 下载
一键复制结果或下载到本地。
CSP 策略审计器 适合怎么用
适合穿插在写代码、查问题、做 Review、上线前的小任务里。
适合开发场景
- 格式化、校验、压缩或检查和代码相关的文本。
- 把片段整理好再放进文档、工单、提交或交接材料。
- 不切换工具,快速检查一个小 payload。
开发检查项
- 压缩、混淆这类不可逆处理,先对副本操作。
- 除非确认工具本地处理,不要粘贴密钥和敏感片段。
- 转换后的代码上线前,仍要跑自己的测试或 lint。
下一步可以接着做
这些入口会把当前任务接到更完整的工具链里。
真实使用场景
加固前端应用
移除 unsafe-inline、unsafe-eval 或宽泛通配符前, 先复核当前 CSP source。
对比测试和生产响应头
分别粘贴策略并导出指令清单, 用于发布检查表。
常见踩坑
加了 CSP 响应头, 但 script-src 仍然允许通配符和 unsafe-eval。
忘记 frame-ancestors, 只依赖旧的 X-Frame-Options 行为。
隐私说明
CSP 响应头可能暴露供应商域名和内部资源域。分析只在浏览器内完成。
常见问题
类似工具组合
做你这行的人, 还会一起用这些。