Analyseur CSP
Analysez Content-Security-Policy (CSP) et Content-Security-Policy-Report-Only pour n'importe quelle URL. Détectez les directives risquées (unsafe-inline, caractères génériques), les stratégies nonce/hachage manquantes, les modèles obsolètes, et obtenez des recommandations actionnables pour renforcer les défenses XSS. Prend en charge les redirections, l'inspection brute des en-têtes, le filtrage, les constatations, et l'export JSON/PDF.
Fonctionnalités
- Détecter et expliquer les en-têtes Content-Security-Policy et Content-Security-Policy-Report-Only.
- Signaler les pièges courants du CSP : unsafe-inline, unsafe-eval, caractères génériques larges et sources trop permissives.
- Conseils pour une exécution plus sûre des scripts/styles via des stratégies basées sur nonce et hachage.
- Identifier les directives manquantes qui comptent souvent dans le renforcement réel (ex. : frame-ancestors, object-src, base-uri).
- Insights Report-Only : comprendre ce qui serait bloqué et comment déployer le CSP sans casser la production.
- Suivre les redirections (jusqu'à 10) pour analyser la politique finale appliquée par les navigateurs.
- Vue brute des en-têtes pour la sortie exacte du serveur et le débogage.
- Constatations + fiche de score avec filtrage "problèmes uniquement".
- Exporter l'analyse en JSON ou PDF pour les audits, tickets et revues de sécurité.
- Inclut la sensibilisation aux en-têtes obsolètes pour détecter les politiques héritées et les besoins de migration.
🧭 Comment utiliser for csp-analyzer
Entrez l'URL à analyser
Collez l'URL de la page que vous souhaitez vérifier (souvent votre page d'accueil ou l'enveloppe de l'application).
Activez le suivi des redirections si nécessaire
Gardez "Suivre les redirections" activé pour que l'analyseur atteigne la destination HTTPS/www/locale finale où le vrai CSP est retourné.
Consultez la fiche de score et les constatations
Commencez par les constatations pour repérer les risques critiques (unsafe-inline, caractères génériques, restrictions manquantes) et comprendre quelles directives influencent le score.
Inspectez les en-têtes bruts lors du débogage
Activez "Afficher les en-têtes bruts" pour vérifier les noms/valeurs exacts des en-têtes (utile si plusieurs en-têtes CSP sont présents ou si un proxy/CDN les modifie).
Exportez un rapport pour votre flux de travail de sécurité
Téléchargez le JSON pour l'automatisation ou le PDF pour les audits de sécurité et les tickets d'ingénierie.
Spécifications techniques
Modèle de requête
Cet outil effectue une inspection des en-têtes d'URL et se concentre sur l'analyse des en-têtes de sécurité, y compris les politiques CSP et report-only.
| Paramètre | Comportement | Par défaut |
|---|---|---|
| Suivre les redirections | Suit la chaîne de redirections pour analyser la politique effective renvoyée par l'URL finale | Activé |
| Redirections max | Limite de redirections pour éviter les boucles | 10 |
| Délai d'attente | Limite de délai d'attente de la requête | 15000 ms |
| Agent utilisateur | Identifie l'agent utilisateur de la requête | Encode64Bot/1.0 (+https://encode64.com) |
| Réseaux privés | Bloque l'accès aux plages de réseaux privés pour la sécurité | Désactivé (réseaux privés non autorisés) |
En-têtes CSP inspectés
L'analyseur vérifie les politiques d'application et de non-application et les présente sous une forme lisible.
| En-tête | Signification |
|---|---|
| Content-Security-Policy | Politique appliquée et respectée par le navigateur |
| Content-Security-Policy-Report-Only | Politique non bloquante qui signale les violations (utile pour le déploiement et l'ajustement) |
Ce que l'analyse recherche
Les résultats sont basés sur des vérifications pratiques de renforcement CSP et des erreurs de déploiement courantes.
| Domaine | Exemples de résultats |
|---|---|
| Robustesse de la politique de script | utilisation de unsafe-inline / unsafe-eval, sources génériques, stratégie nonce/hash manquante |
| Robustesse de la politique de style | styles unsafe-inline, sources trop larges, chemin de migration vers nonces/hashes manquant lorsque possible |
| Résistance au framing et au clickjacking | Restrictions de cadre manquantes ou faibles (souvent via frame-ancestors) |
| Modèles obsolètes / dépréciés | Anciennes directives ou modèles qui devraient être modernisés |
| Préparation au déploiement | Visibilité des points de terminaison de présence et de signalement en mode Rapport-Seulement |
Ligne de commande
Utilisez ces commandes pour inspecter rapidement les en-têtes CSP. Elles sont utiles pour valider ce que l'analyseur rapporte.
macOS / Linux
Récupérer les en-têtes de réponse (rechercher CSP)
curl -I https://example.comInspectez Content-Security-Policy et Content-Security-Policy-Report-Only dans les en-têtes de réponse.
Suivre les redirections tout en vérifiant les en-têtes
curl -IL https://example.comGarantit que vous voyez les en-têtes CSP de la destination finale (HTTPS, www, route de l'app shell).
Afficher uniquement les en-têtes CSP (correspondance insensible à la casse)
curl -I https://example.com | grep -i "content-security-policy"Isole rapidement les en-têtes CSP et de rapport-seulement de l'ensemble complet des en-têtes.
Windows (PowerShell)
Inspecter les en-têtes CSP
$r = Invoke-WebRequest -Uri https://example.com -Method Head; $r.Headers['Content-Security-Policy']; $r.Headers['Content-Security-Policy-Report-Only']Affiche les en-têtes CSP d'application et de rapport-seulement s'ils sont présents.
Cas d'utilisation
Renforcer un site contre les XSS
Utilisez CSP pour réduire l'impact des vulnérabilités d'injection en restreignant les sources de chargement des scripts/styles et la gestion du code en ligne.
- Identifier unsafe-inline/unsafe-eval et planifier une migration vers les nonces/hachages
- Restreindre les sources script-src/style-src aux origines de confiance
- Ajouter les directives défensives manquantes (base-uri, object-src, frame-ancestors)
Déployer CSP en toute sécurité avec Rapport-Seulement
Introduisez CSP progressivement sans casser la production en commençant par Content-Security-Policy-Report-Only et en itérant sur les violations.
- Détecter la présence d'une politique en mode rapport-seulement
- Comprendre ce qui serait bloqué avant l'application
- Exporter un rapport pour votre plan de déploiement et les tickets
Déboguer des scripts, iframes ou widgets tiers cassés
Un CSP trop strict peut bloquer les analyses, les intégrations ou les connexions API. Utilisez l'analyseur pour voir ce que la politique autorise et où vous pourriez avoir besoin de sources explicites.
- Confirmer les sources autorisées pour script/img/connect/frame
- Détecter les caractères génériques trop larges ajoutés comme solution rapide
- Remplacer les autorisations larges par des domaines ciblés
Revue de sécurité / preuve de conformité
Générez un rapport cohérent de la posture CSP actuelle pour les revues de sécurité, les questionnaires clients ou la conformité interne.
- Télécharger le JSON pour suivre les changements dans le temps
- Télécharger le PDF pour les artefacts d'audit et le partage
❓ Frequently Asked Questions
❓Qu'est-ce que la CSP et contre quoi protège-t-elle ?
❓Quelle est la différence entre CSP et CSP Report-Only ?
❓Pourquoi unsafe-inline est-il considéré comme dangereux ?
❓Ai-je besoin de nonces ou de hachages ?
❓Un CDN ou un proxy peut-il modifier mon en-tête CSP ?
❓La CSP remplace-t-elle la correction des bogues XSS ?
❓Est-il sûr de coller des URL ici ?
Pro Tips
Commencez avec Content-Security-Policy-Report-Only, collectez les violations, puis resserrez et appliquez. La CSP est itérative pour les applications réelles.
Remplacez unsafe-inline par une stratégie de nonce ou de hachage. Gardez les politiques explicites et minimales.
Ajoutez frame-ancestors pour réduire le risque de clickjacking et évitez de vous fier uniquement aux en-têtes hérités.
Évitez les caractères génériques larges comme solution rapide. Privilégiez les domaines ciblés pour les scripts/images/connect et examinez les besoins des tiers.
Exportez un rapport JSON et suivez les changements de CSP dans l'IC pour détecter les régressions lorsque les en-têtes sont modifiés par des mises à jour du CDN/de l'application.
Additional Resources
Other Tools
- Formateur CSS
- Formateur HTML
- Formateur JavaScript
- Formateur PHP
- Sélecteur de couleurs
- Extracteur de sprites
- Encodeur binaire Base32
- Décodeur Base32
- Encodeur Base32
- Encodeur binaire Base58
- Décodeur Base58
- Encodeur Base58
- Encodeur binaire Base62
- Décodeur Base62
- Encodeur Base62
- Encodeur binaire Base64
- Décodeur Base64
- Encodeur Base64
- Encodeur binaire Hexadécimal
- Décodeur Hexadécimal
- Encodeur Hexadécimal
- Formateur C#
- Formateur CSV
- Dockerfile Formatter
- Formateur Elm
- Formateur ENV
- Formateur Go
- Formateur GraphQL
- Formateur HCL
- Formateur INI
- Formateur JSON
- Formateur LaTeX
- Formateur Markdown
- Formateur Objective-C
- Php Formatter
- Formateur Proto
- Formateur Python
- Formateur Ruby
- Formateur Rust
- Formateur Scala
- Formateur de scripts Shell
- Formateur SQL
- Formateur SVG
- Formateur Swift
- Formateur TOML
- Typescript Formatter
- Formateur XML
- Formateur YAML
- Formateur Yarn
- Minifieur CSS
- Html Minifier
- Javascript Minifier
- Minifieur JSON
- Minifieur XML
- Cache Headers Analyzer
- Cors Checker
- Dns Records Lookup
- Visualiseur d’en-têtes HTTP
- Http Status Checker
- Open Graph Meta Checker
- Redirect Chain Viewer
- Robots Txt Tester
- Security Headers Checker
- Security Txt Checker
- Sitemap Url Inspector
- Tls Certificate Checker
- PDF vers texte
- Testeur d’expressions régulières
- Vérificateur de classement SERP
- Recherche WHOIS