تحلیلگر CSP
Content-Security-Policy (CSP) و Content-Security-Policy-Report-Only را برای هر URL تحلیل کنید. دستورالعملهای پرخطر (مانند unsafe-inline، wildcard)، استراتژیهای مفقود nonce/hash، الگوهای منسوخ را شناسایی کرده و توصیههای عملی برای تقویت دفاع در برابر XSS ارائه دهید. از تغییر مسیرها، بازرسی هدر خام، فیلتر کردن، یافتهها و خروجی JSON/PDF پشتیبانی میکند.
ویژگیها
- هدرهای Content-Security-Policy و Content-Security-Policy-Report-Only را شناسایی و توضیح دهید.
- مشکلات رایج CSP را علامتگذاری کنید: unsafe-inline، unsafe-eval، wildcardهای گسترده و منابع بیش از حد مجاز.
- راهنمایی برای اجرای امنتر اسکریپت/استایل از طریق استراتژیهای مبتنی بر nonce و hash.
- دستورالعملهای مفقودی را که اغلب در تقویت دنیای واقعی اهمیت دارند (مانند frame-ancestors، object-src، base-uri) شناسایی کنید.
- بینشهای Report-Only: درک کنید که چه چیزی مسدود میشود و چگونه CSP را بدون اختلال در تولید پیادهسازی کنید.
- تغییر مسیرها (تا ۱۰ مورد) را دنبال کنید تا سیاست پاسخ نهایی که مرورگرها اعمال میکنند را تحلیل کنید.
- نمای هدرهای خام برای خروجی دقیق سرور و اشکالزدایی.
- یافتهها + کارت امتیاز با فیلتر «فقط مشکلات».
- تحلیل را به JSON یا PDF برای حسابرسیها، تیکتها و بررسیهای امنیتی صادر کنید.
- شامل آگاهی از هدرهای منسوخ برای شناسایی سیاستهای قدیمی و نیازهای مهاجرت.
🧭 نحوه استفاده for csp-analyzer
URL برای تحلیل را وارد کنید
URL صفحهای که میخواهید بررسی کنید (معمولاً صفحه اصلی یا پوسته برنامه) را وارد کنید.
در صورت نیاز، دنبال کردن تغییر مسیر را فعال کنید
«دنبال کردن تغییر مسیرها» را فعال نگه دارید تا تحلیلگر به مقصد نهایی HTTPS/www/محلی که CSP واقعی برگردانده میشود، برسد.
کارت امتیاز و یافتهها را مرور کنید
با یافتهها شروع کنید تا خطرات حیاتی (unsafe-inline، wildcardها، محدودیتهای مفقود) را شناسایی کرده و درک کنید کدام دستورالعملها امتیاز را هدایت میکنند.
هدرهای خام را هنگام اشکالزدایی بررسی کنید
«نمایش هدرهای خام» را روشن کنید تا نام/مقادیر دقیق هدر را تأیید کنید (در صورت وجود چندین هدر CSP یا تغییر آنها توسط پروکسی/CDN مفید است).
یک گزارش برای گردش کار امنیتی خود صادر کنید
برای اتوماسیون JSON یا برای حسابرسیهای امنیتی و تیکتهای مهندسی PDF را دانلود کنید.
مشخصات فنی
مدل درخواست
این ابزار یک بازرسی هدر URL را انجام داده و بر تحلیل هدرهای امنیتی، از جمله سیاستهای CSP و report-only تمرکز میکند.
| تنظیم | رفتار | پیشفرض |
|---|---|---|
| دنبال کردن تغییر مسیرها | زنجیره تغییر مسیرها را دنبال میکند تا سیاست مؤثر بازگردانده شده توسط آدرس نهایی را تحلیل کند | فعال |
| حداکثر تغییر مسیرها | سقف تغییر مسیر برای جلوگیری از حلقهها | ۱۰ |
| مهلت زمانی | محدودیت مهلت زمانی درخواست | ۱۵۰۰۰ میلیثانیه |
| کاربر-عامل | کاربر-عامل درخواست را شناسایی میکند | Encode64Bot/1.0 (+https://encode64.com) |
| شبکههای خصوصی | برای ایمنی، دسترسی به محدودههای شبکه خصوصی را مسدود میکند | غیرفعال (شبکههای خصوصی مجاز نیستند) |
هدرهای CSP بررسی شده
تحلیلگر هم سیاستهای اجرایی و هم غیراجرایی را بررسی کرده و آنها را به شکلی خوانا ارائه میدهد.
| هدر | معنی |
|---|---|
| Content-Security-Policy | سیاست اجرایی اعمال شده توسط مرورگر |
| Content-Security-Policy-Report-Only | سیاست غیرمسدودکننده که تخلفات را گزارش میدهد (برای استقرار و تنظیم مفید است) |
آنچه تحلیل به دنبال آن است
یافتهها بر اساس بررسیهای عملی تقویت CSP و اشتباهات رایج استقرار هستند.
| حوزه | نمونههایی از یافتهها |
|---|---|
| استحکام سیاست اسکریپت | استفاده از unsafe-inline / unsafe-eval، منابع عمومی، فقدان استراتژی nonce/hash |
| استحکام سیاست استایل | استایلهای unsafe-inline، منابع بیش از حد گسترده، فقدان مسیر مهاجرت به nonce/hash در صورت امکان |
| مقاومت در برابر قابگذاری و کلیکدزدی | فقدان یا ضعف محدودیتهای قاب (اغلب از طریق frame-ancestors) |
| الگوهای قدیمی / منسوخ | دستورالعملها یا الگوهای قدیمی که باید مدرن شوند |
| آمادگی برای استقرار | قابلیت مشاهده نقاط پایانی گزارشگیری و حضور حالت Report-Only |
خط فرمان
از این دستورات برای بررسی سریع هدرهای CSP استفاده کنید. برای تأیید گزارشهای تحلیلگر مفید هستند.
macOS / Linux
دریافت هدرهای پاسخ (جستجوی CSP)
curl -I https://example.comبررسی Content-Security-Policy و Content-Security-Policy-Report-Only در هدرهای پاسخ.
پیگیری تغییر مسیرها در حین بررسی هدرها
curl -IL https://example.comاطمینان از مشاهده هدرهای CSP از مقصد نهایی (HTTPS، www، مسیر پوسته برنامه).
نمایش فقط هدرهای CSP (مطابقت بدون حساسیت به حروف)
curl -I https://example.com | grep -i "content-security-policy"جداسازی سریع هدرهای CSP و گزارشگیری از مجموعه کامل هدرها.
ویندوز (PowerShell)
بررسی هدرهای CSP
$r = Invoke-WebRequest -Uri https://example.com -Method Head; $r.Headers['Content-Security-Policy']; $r.Headers['Content-Security-Policy-Report-Only']نمایش هدرهای CSP اجرایی و گزارشگیری در صورت وجود.
موارد استفاده
مقاومسازی سایت در برابر XSS
از CSP برای کاهش تأثیر آسیبپذیریهای تزریق با محدود کردن مکانهای بارگیری اسکریپتها/استایلها و نحوه مدیریت کد درونخطی استفاده کنید.
- شناسایی unsafe-inline/unsafe-eval و برنامهریزی برای مهاجرت به nonceها/hashها
- محدود کردن منابع script-src/style-src به مبدأهای مورد اعتماد
- افزودن دستورالعملهای دفاعی مفقوده (base-uri، object-src، frame-ancestors)
استقرار ایمن CSP با Report-Only
CSP را به تدریج و بدون اختلال در تولید، با شروع از Content-Security-Policy-Report-Only و تکرار بر اساس تخلفها معرفی کنید.
- تشخیص وجود سیاست report-only
- درک آنچه قبل از اجرا مسدود میشود
- صدور گزارش برای برنامه استقرار و تیکتها
اشکالزدایی اسکریپتها، iframeها یا ویجتهای شخص ثالث خراب
CSP بیش از حد سختگیرانه میتواند تحلیلات، جاسازیها یا اتصالات API را مسدود کند. از تحلیلگر برای دیدن مجوزهای سیاست و مکانهایی که ممکن است نیاز به منابع صریح داشته باشید استفاده کنید.
- تأیید منابع مجاز اسکریپت/تصویر/اتصال/فریم
- تشخیص wildcardهای بیش از حد گسترده اضافه شده به عنوان راهحل سریع
- جایگزینی مجوزهای گسترده با دامنههای هدفمند
بررسی امنیتی / شواهد انطباق
ایجاد یک گزارش سازگار از وضعیت فعلی CSP برای بررسیهای امنیتی، پرسشنامههای مشتری یا انطباق داخلی.
- دانلود JSON برای ردیابی تغییرات در طول زمان
- دانلود PDF برای مستندات حسابرسی و اشتراکگذاری
❓ Frequently Asked Questions
❓CSP چیست و در برابر چه چیزی محافظت میکند؟
❓تفاوت بین CSP و CSP Report-Only چیست؟
❓چرا unsafe-inline خطرناک در نظر گرفته میشود؟
❓آیا به nonce یا hash نیاز دارم؟
❓آیا CDN یا پروکسی میتوانند هدر CSP من را تغییر دهند؟
❓آیا CSP جایگزینی برای رفع باگهای XSS است؟
❓آیا قرار دادن URLها در اینجا امن است؟
Pro Tips
با Content-Security-Policy-Report-Only شروع کنید، تخلفات را جمعآوری کنید، سپس آن را سفتتر کرده و اجرا کنید. CSP برای برنامههای واقعی تکراری است.
unsafe-inline را با یک استراتژی nonce یا hash جایگزین کنید. سیاستها را صریح و حداقلی نگه دارید.
frame-ancestors را اضافه کنید تا خطر کلیکجکینگ کاهش یابد و از اتکا فقط به هدرهای قدیمی خودداری کنید.
از کاراکترهای عام گسترده به عنوان یک راهحل سریع خودداری کنید. دامنههای هدفمند برای اسکریپتها/تصاویر/اتصال را ترجیح دهید و نیازهای شخص ثالث را بررسی کنید.
یک گزارش JSON صادر کنید و تغییرات CSP را در CI ردیابی کنید تا زمانی که هدرها توسط بهروزرسانیهای CDN/برنامه تغییر میکنند، پسرفتها را شناسایی کنید.
Additional Resources
Other Tools
- زیباکننده CSS
- زیباکننده HTML
- زیباکننده JavaScript
- زیباکننده PHP
- انتخابگر رنگ
- استخراجکننده اسپرایت
- رمزگذار باینری Base32
- رمزگشای Base32
- رمزگذار Base32
- رمزگذار باینری Base58
- رمزگشای Base58
- رمزگذار Base58
- رمزگذار باینری Base62
- رمزگشای Base62
- رمزگذار Base62
- رمزگذار باینری Base64
- دیکودر Base64
- انکودر Base64
- رمزگذار باینری هگز
- رمزگشای هگز
- رمزگذار هگز
- فرمتدهنده C#
- فرمتدهنده CSV
- Dockerfile Formatter
- فرمتدهنده Elm
- فرمتدهنده ENV
- فرمتدهنده Go
- فرمتدهنده GraphQL
- فرمتدهنده HCL
- فرمتدهنده INI
- فرمتدهنده JSON
- فرمتدهنده LaTeX
- فرمتدهنده Markdown
- فرمتدهنده Objective-C
- Php Formatter
- فرمتدهنده Proto
- فرمتدهنده Python
- فرمتدهنده Ruby
- فرمتدهنده Rust
- فرمتدهنده Scala
- فرمتدهنده اسکریپت شل
- فرمتدهنده SQL
- قالببندی SVG
- قالببندی Swift
- قالببندی TOML
- Typescript Formatter
- قالببندی XML
- قالببندی YAML
- قالببندی Yarn
- کوچککننده CSS
- Html Minifier
- Javascript Minifier
- کوچککننده JSON
- کوچککننده XML
- Cache Headers Analyzer
- Cors Checker
- Dns Records Lookup
- نمایشگر هدرهای HTTP
- Http Status Checker
- Open Graph Meta Checker
- Redirect Chain Viewer
- Robots Txt Tester
- Security Headers Checker
- Security Txt Checker
- Sitemap Url Inspector
- Tls Certificate Checker
- PDF به متن
- تستکننده Regex
- بررسیکننده رتبه SERP
- جستجوی Whois