Analizador de CSP

Analiza Content-Security-Policy (CSP) y Content-Security-Policy-Report-Only para cualquier URL. Detecta directivas riesgosas (unsafe-inline, comodines), estrategias faltantes de nonce/hash, patrones obsoletos, y proporciona recomendaciones prácticas para fortalecer las defensas contra XSS. Soporta redirecciones, inspección de cabeceras en bruto, filtrado, hallazgos y exportación a JSON/PDF.

Loading…

Acerca de Analizador CSP

Pega una URL para inspeccionar sus cabeceras CSP y ver rápidamente si la política realmente te protege contra XSS e inyecciones. Este analizador resalta permisos peligrosos (como unsafe-inline o comodines amplios), explica qué falta (estrategia nonce/hash, restricciones de frames) y te ayuda a avanzar hacia un CSP práctico y desplegable usando report-only de forma segura.

Características

Detecta y explica las cabeceras Content-Security-Policy y Content-Security-Policy-Report-Only.
Señala errores comunes de CSP: unsafe-inline, unsafe-eval, comodines amplios y fuentes excesivamente permisivas.
Guía para una ejecución más segura de scripts/estilos mediante estrategias basadas en nonce y hash.
Identifica directivas faltantes que suelen ser importantes en el fortalecimiento del mundo real (p. ej., frame-ancestors, object-src, base-uri).
Perspectivas de Report-Only: entiende qué sería bloqueado y cómo implementar CSP sin romper producción.
Sigue redirecciones (hasta 10) para analizar la política de respuesta final que aplican los navegadores.
Vista de cabeceras en bruto para la salida exacta del servidor y depuración.
Hallazgos + tarjeta de puntuación con filtrado de "solo problemas".
Exporta el análisis a JSON o PDF para auditorías, tickets y revisiones de seguridad.
Incluye conciencia de cabeceras obsoletas para detectar políticas heredadas y necesidades de migración.

🧭 Cómo usar for csp-analyzer

Introduce la URL a analizar

Pega la URL de la página que deseas verificar (a menudo tu página de inicio o shell de la aplicación).

Habilita el seguimiento de redirecciones si es necesario

Mantén "Seguir Redirecciones" habilitado para que el analizador alcance el destino final HTTPS/www/locale donde se devuelve el CSP real.

Revisa la tarjeta de puntuación y los hallazgos

Comienza con los hallazgos para detectar riesgos críticos (unsafe-inline, comodines, restricciones faltantes) y entender qué directivas impulsan la puntuación.

Inspecciona las cabeceras en bruto al depurar

Activa "Mostrar Cabeceras en Bruto" para verificar los nombres/valores exactos de las cabeceras (útil si hay múltiples cabeceras CSP o un proxy/CDN las modifica).

Exporta un informe para tu flujo de trabajo de seguridad

Descarga JSON para automatización o PDF para auditorías de seguridad y tickets de ingeniería.

Especificaciones técnicas

Modelo de solicitud

Esta herramienta realiza una inspección de cabeceras de URL y se centra en el análisis de cabeceras de seguridad, incluyendo políticas CSP y report-only.

Configuración	Comportamiento	Predeterminado
Seguir Redirecciones	Sigue la cadena de redirecciones para analizar la política efectiva devuelta por la URL final	Habilitado
Redirecciones Máximas	Límite de redirecciones para prevenir bucles	10
Tiempo de Espera	Límite de tiempo de espera de la solicitud	15000 ms
Agente de Usuario	Identifica el agente de usuario de la solicitud	Encode64Bot/1.0 (+https://encode64.com)
Redes privadas	Bloquea el acceso a rangos de red privados por seguridad	Deshabilitado (redes privadas no permitidas)

Encabezados CSP inspeccionados

El analizador verifica tanto las políticas de aplicación como las de no aplicación y las presenta en un formato legible.

Encabezado	Significado
Content-Security-Policy	Política aplicada y exigida por el navegador
Content-Security-Policy-Report-Only	Política no bloqueante que reporta violaciones (útil para implementación y ajustes)

Los sitios pueden emitir múltiples encabezados CSP. Los navegadores aplican reglas de combinación/precedencia que pueden ser complejas—los encabezados sin procesar ayudan a confirmar lo que se está enviando.

Qué busca el análisis

Los hallazgos se basan en comprobaciones prácticas de fortalecimiento de CSP y errores comunes de implementación.

Área	Ejemplos de hallazgos
Fortaleza de la política de scripts	uso de unsafe-inline / unsafe-eval, fuentes comodín, falta de estrategia de nonce/hash
Fortaleza de la política de estilos	estilos unsafe-inline, fuentes excesivamente amplias, falta de ruta de migración a nonces/hashes donde sea factible
Resistencia a framing y clickjacking	Restricciones de marco faltantes o débiles (a menudo a través de frame-ancestors)
Patrones heredados / obsoletos	Directivas o patrones antiguos que deberían modernizarse
Preparación para implementación	Visibilidad de la presencia en modo solo informe y de los endpoints de reporte

Línea de comandos

Usa estos comandos para inspeccionar rápidamente las cabeceras CSP. Son útiles para validar lo que reporta el analizador.

macOS / Linux

Obtener las cabeceras de respuesta (buscar CSP)

curl -I https://example.com

Inspecciona Content-Security-Policy y Content-Security-Policy-Report-Only en las cabeceras de respuesta.

Seguir redirecciones mientras se verifican las cabeceras

curl -IL https://example.com

Asegura que veas las cabeceras CSP del destino final (HTTPS, www, ruta de la capa de aplicación).

Mostrar solo las cabeceras CSP (coincidencia sin distinguir mayúsculas/minúsculas)

curl -I https://example.com | grep -i "content-security-policy"

Aísla rápidamente las cabeceras CSP y de solo informe del conjunto completo de cabeceras.

Windows (PowerShell)

Inspeccionar las cabeceras CSP

$r = Invoke-WebRequest -Uri https://example.com -Method Head; $r.Headers['Content-Security-Policy']; $r.Headers['Content-Security-Policy-Report-Only']

Muestra las cabeceras CSP de aplicación y de solo informe, si están presentes.

Implementa nuevas políticas primero en modo Solo Informe, revisa los reportes de violaciones, luego ajusta y aplica. La afinación de CSP es iterativa para aplicaciones modernas.

Casos de uso

Fortalecer un sitio contra XSS

Usa CSP para reducir el impacto de vulnerabilidades de inyección restringiendo de dónde pueden cargarse scripts/estilos y cómo se maneja el código en línea.

Identificar unsafe-inline/unsafe-eval y planificar una migración a nonces/hashes
Restringir los orígenes de script-src/style-src a fuentes confiables
Agregar directivas defensivas faltantes (base-uri, object-src, frame-ancestors)

Implementar CSP de forma segura con Solo Informe

Introduce CSP gradualmente sin afectar la producción comenzando con Content-Security-Policy-Report-Only e iterando sobre las violaciones.

Detectar la presencia de una política de solo informe
Entender qué sería bloqueado antes de aplicar
Exportar un reporte para tu plan de implementación y tickets

Depurar scripts, iframes o widgets de terceros rotos

Un CSP demasiado estricto puede bloquear analíticas, incrustaciones o conexiones API. Usa el analizador para ver qué permite la política y dónde puedes necesitar fuentes explícitas.

Confirmar las fuentes permitidas de script/img/connect/frame
Detectar comodines demasiado amplios agregados como solución rápida
Reemplazar permisos amplios con dominios específicos

Revisión de seguridad / evidencia de cumplimiento

Genera un reporte consistente del estado actual de CSP para revisiones de seguridad, cuestionarios de clientes o cumplimiento interno.

Descargar JSON para rastrear cambios a lo largo del tiempo
Descargar PDF para artefactos de auditoría y compartir

❓ Frequently Asked Questions

❓¿Qué es CSP y contra qué protege?

La Política de Seguridad de Contenido (CSP) es una capa de seguridad impuesta por el navegador que restringe de dónde pueden cargarse los recursos y cómo se ejecutan los scripts/estilos. Se utiliza principalmente para reducir el impacto del cross-site scripting (XSS) y los ataques de inyección.

❓¿Cuál es la diferencia entre CSP y CSP Report-Only?

Content-Security-Policy se aplica (puede bloquear). Content-Security-Policy-Report-Only no bloquea; reporta violaciones para que puedas ajustar una política antes de aplicarla.

❓¿Por qué se considera peligroso unsafe-inline?

unsafe-inline permite scripts/estilos en línea, lo que debilita la capacidad de CSP para detener código inyectado. Enfoques más seguros usan nonces o hashes para permitir solo bloques en línea conocidos mientras siguen bloqueando inyecciones inesperadas.

❓¿Necesito nonces o hashes?

Si tu aplicación usa scripts o estilos en línea, los nonces/hashes son la forma moderna de mantener CSP efectivo sin romper la funcionalidad. Permiten bloques en línea específicos mientras previenen inyecciones arbitrarias.

❓¿Puede un CDN o proxy cambiar mi encabezado CSP?

Sí. Las capas de borde pueden agregar, fusionar o sobrescribir encabezados. Si algo parece inconsistente, habilita encabezados sin procesar y sigue redirecciones para verificar los encabezados de respuesta finales.

❓¿Es CSP un reemplazo para corregir errores de XSS?

No. CSP es un control de defensa en profundidad. Todavía necesitas codificación de salida adecuada, plantillas seguras y validación de entrada. CSP reduce el radio de explosión si algo se filtra.

❓¿Es seguro pegar URLs aquí?

La herramienta realiza solicitudes del lado del servidor a la URL proporcionada y bloquea objetivos de red privada. Evita poner secretos en URLs (como tokens en cadenas de consulta) y prefiere URLs públicas en las que confíes.

Pro Tips

Best Practice

Comienza con Content-Security-Policy-Report-Only, recopila violaciones, luego ajusta y aplica. CSP es iterativo para aplicaciones reales.

Best Practice

Reemplaza unsafe-inline con una estrategia de nonce o hash. Mantén las políticas explícitas y mínimas.

Best Practice

Agrega frame-ancestors para reducir el riesgo de clickjacking y evita depender solo de encabezados heredados.

Best Practice

Evita comodines amplios como solución rápida. Prefiere dominios específicos para scripts/imágenes/conexiones y revisa las necesidades de terceros.

CI Tip

Exporta un reporte JSON y rastrea cambios de CSP en CI para detectar regresiones cuando los encabezados son modificados por actualizaciones de CDN/aplicación.