解析内容安全策略头并分析安全问题。
将内容安全策略字符串解析为可读指令,以加快安全调试、策略加固和部署前验证。
它将 CSP 标头分解为指令级部分,以便于检查和故障排除。
它有助于识别缺失的允许列表、无效关键字和过度宽松的模式。
它通过使策略差异和补救步骤更易于审查来支持安全的推出工作流程。
策略标头
default-src 'self'; script-src 'self' https://cdn.example.com; object-src 'none'
仅报告示例
default-src 'self'; img-src * data:; report-uri /csp-report
旧策略
script-src 'unsafe-inline' 'unsafe-eval' https:;
已解析指令
default-src: ['self'] ; script-src: ['self', 'https://cdn.example.com']
风险提示
在 script-src 中检测到不安全内联;评估随机数/哈希迁移路径。
强化说明
尽可能设置 object-src 'none' 和 base-uri 'self'。
默默忽略指令拼写错误
根据 CSP 规范验证指令名称。
生产中留下不安全的关键字
用随机数或基于哈希的策略替换不安全内联。
通配符源太宽
将主机和协议限制为所需的最低来源。
环境之间的策略不同
版本控制标头并比较部署工件。
CSP 解析器 应作为交付流程中的快速校验步骤,在提交、发布和交接前都建议执行一次。
为什么首先使用仅报告模式?
因为它可以在执行更严格策略之前先暴露潜在的破坏风险。
不安全内联总是不好吗?
通常不鼓励这样做; nonce/hash 方法更安全。
CSP 可以阻止所有 XSS 吗?
不,CSP 是一个强大的缓解层,但不能完全替代安全编码。
应该多久审查一次 CSP?
在每次主要的前端依赖项或资产管道更改时。
