सीएसपी विश्लेषक

किसी भी यूआरएल के लिए कंटेंट-सिक्योरिटी-पॉलिसी (सीएसपी) और कंटेंट-सिक्योरिटी-पॉलिसी-रिपोर्ट-ओनली का विश्लेषण करें। जोखिम भरे निर्देशों (अनसेफ-इनलाइन, वाइल्डकार्ड), गुम नॉन्स/हैश रणनीतियों, पुराने पैटर्नों का पता लगाएं, और एक्सएसएस सुरक्षा को मजबूत करने के लिए कार्रवाई योग्य सिफारिशें प्रदान करें। रीडायरेक्ट, कच्चे हेडर निरीक्षण, फ़िल्टरिंग, निष्कर्ष, और JSON/PDF निर्यात का समर्थन करता है।

Loading…

के बारे में सीएसपी विश्लेषक

अपने सीएसपी हेडर का निरीक्षण करने के लिए एक यूआरएल पेस्ट करें और तुरंत देखें कि क्या नीति वास्तव में आपको एक्सएसएस और इंजेक्शन से बचा रही है। यह विश्लेषक खतरनाक अनुमतियों (जैसे अनसेफ-इनलाइन या व्यापक वाइल्डकार्ड) को उजागर करता है, बताता है कि क्या गायब है (नॉन्स/हैश रणनीति, फ्रेम प्रतिबंध), और रिपोर्ट-ओनली का सुरक्षित रूप से उपयोग करके एक व्यावहारिक, परिनियोज्य सीएसपी की ओर बढ़ने में आपकी मदद करता है।

विशेषताएँ

  • कंटेंट-सिक्योरिटी-पॉलिसी और कंटेंट-सिक्योरिटी-पॉलिसी-रिपोर्ट-ओनली हेडर का पता लगाएं और समझाएं।
  • सामान्य सीएसपी खतरों को चिह्नित करें: अनसेफ-इनलाइन, अनसेफ-ईवल, व्यापक वाइल्डकार्ड, और अत्यधिक अनुमतिप्रद स्रोत।
  • नॉन्स और हैश-आधारित रणनीतियों के माध्यम से सुरक्षित स्क्रिप्ट/स्टाइल निष्पादन के लिए मार्गदर्शन।
  • उन गुम निर्देशों की पहचान करें जो वास्तविक दुनिया की सुरक्षा में अक्सर मायने रखते हैं (जैसे, फ्रेम-एन्सेस्टर्स, ऑब्जेक्ट-स्रोत, बेस-यूआरआई)।
  • रिपोर्ट-ओनली अंतर्दृष्टि: समझें कि क्या ब्लॉक किया जाएगा और उत्पादन को तोड़े बिना सीएसपी को कैसे लागू किया जाए।
  • रीडायरेक्ट का पालन करें (10 तक) ताकि अंतिम प्रतिक्रिया नीति का विश्लेषण किया जा सके जिसे ब्राउज़र लागू करते हैं।
  • सटीक सर्वर आउटपुट और डिबगिंग के लिए कच्चे हेडर दृश्य।
  • निष्कर्ष + स्कोर कार्ड जिसमें "केवल समस्याएँ" फ़िल्टरिंग शामिल है।
  • ऑडिट, टिकट और सुरक्षा समीक्षाओं के लिए विश्लेषण को JSON या PDF में निर्यात करें।
  • पुराने हेडर जागरूकता शामिल है ताकि पुरानी नीतियों और माइग्रेशन आवश्यकताओं का पता लगाया जा सके।

🧭 उपयोग कैसे करें for csp-analyzer

1

विश्लेषण करने के लिए यूआरएल दर्ज करें

वह पृष्ठ यूआरएल पेस्ट करें जिसे आप जाँचना चाहते हैं (अक्सर आपका होमपेज या ऐप शेल)।

2

आवश्यकता होने पर रीडायरेक्ट अनुसरण सक्षम करें

"रीडायरेक्ट का पालन करें" सक्षम रखें ताकि विश्लेषक अंतिम HTTPS/www/लोकेल गंतव्य तक पहुँच सके जहाँ वास्तविक सीएसपी लौटाई जाती है।

3

स्कोर कार्ड और निष्कर्षों की समीक्षा करें

महत्वपूर्ण जोखिमों (अनसेफ-इनलाइन, वाइल्डकार्ड, गुम प्रतिबंध) को देखने और समझने के लिए निष्कर्षों से शुरुआत करें कि कौन से निर्देश स्कोर को प्रभावित कर रहे हैं।

4

डिबगिंग करते समय कच्चे हेडर का निरीक्षण करें

सटीक हेडर नाम/मानों को सत्यापित करने के लिए "कच्चे हेडर दिखाएँ" चालू करें (उपयोगी यदि कई सीएसपी हेडर मौजूद हैं या कोई प्रॉक्सी/CDN उन्हें संशोधित करता है)।

5

अपनी सुरक्षा वर्कफ़्लो के लिए एक रिपोर्ट निर्यात करें

स्वचालन के लिए JSON या सुरक्षा ऑडिट और इंजीनियरिंग टिकटों के लिए PDF डाउनलोड करें।

तकनीकी विशिष्टताएँ

अनुरोध मॉडल

यह उपकरण एक यूआरएल हेडर निरीक्षण करता है और सीएसपी और रिपोर्ट-ओनली नीतियों सहित सुरक्षा हेडर विश्लेषण पर केंद्रित है।

सेटिंगव्यवहारडिफ़ॉल्ट
रिडायरेक्ट्स का पालन करेंअंतिम URL द्वारा लौटाई गई प्रभावी नीति का विश्लेषण करने के लिए रिडायरेक्ट चेन का पालन करता हैसक्षम
अधिकतम रिडायरेक्ट्सलूप्स को रोकने के लिए रिडायरेक्ट सीमा10
समय सीमाअनुरोध समय सीमा सीमा15000 ms
यूज़र-एजेंटअनुरोध यूज़र एजेंट की पहचान करता हैEncode64Bot/1.0 (+https://encode64.com)
निजी नेटवर्कसुरक्षा के लिए निजी नेटवर्क रेंज तक पहुंच को ब्लॉक करता हैअक्षम (निजी नेटवर्क की अनुमति नहीं)

जाँचे गए CSP हेडर

विश्लेषक दोनों प्रवर्तन और गैर-प्रवर्तन नीतियों की जाँच करता है और उन्हें पठनीय रूप में प्रस्तुत करता है।

हेडरअर्थ
Content-Security-Policyब्राउज़र द्वारा लागू की गई प्रवर्तित नीति
Content-Security-Policy-Report-Onlyगैर-ब्लॉकिंग नीति जो उल्लंघनों की रिपोर्ट करती है (रोलआउट और ट्यूनिंग के लिए उपयोगी)
साइटें कई CSP हेडर भेज सकती हैं। ब्राउज़र संयोजन/प्राथमिकता नियम लागू करते हैं जो जटिल हो सकते हैं—कच्चे हेडर यह पुष्टि करने में मदद करते हैं कि क्या भेजा जा रहा है।

विश्लेषण क्या देखता है

निष्कर्ष व्यावहारिक CSP सुदृढ़ीकरण जाँच और सामान्य तैनाती गलतियों पर आधारित हैं।

क्षेत्रनिष्कर्षों के उदाहरण
स्क्रिप्ट नीति की मजबूतीunsafe-inline / unsafe-eval का उपयोग, वाइल्डकार्ड स्रोत, गुम nonce/hash रणनीति
स्टाइल नीति की मजबूतीunsafe-inline स्टाइल्स, अत्यधिक व्यापक स्रोत, संभव होने पर nonces/hashes के लिए गुम माइग्रेशन पथ
फ्रेमिंग और क्लिकजैकिंग प्रतिरोधगुम या कमजोर फ्रेम प्रतिबंध (अक्सर frame-ancestors के माध्यम से)
पुराने / अप्रचलित पैटर्नपुराने निर्देश या पैटर्न जिन्हें आधुनिक बनाया जाना चाहिए
रोलआउट तत्परतारिपोर्ट-ओनली उपस्थिति और रिपोर्टिंग एंडपॉइंट्स दृश्यता

कमांड लाइन

CSP हेडरों का त्वरित निरीक्षण करने के लिए इन कमांड्स का उपयोग करें। विश्लेषक द्वारा रिपोर्ट किए गए डेटा को मान्य करने में ये उपयोगी हैं।

macOS / Linux

प्रतिक्रिया हेडर प्राप्त करें (CSP के लिए देखें)

curl -I https://example.com

प्रतिक्रिया हेडर में Content-Security-Policy और Content-Security-Policy-Report-Only का निरीक्षण करें।

हेडर जांचते समय रीडायरेक्ट्स का पालन करें

curl -IL https://example.com

सुनिश्चित करता है कि आप अंतिम गंतव्य (HTTPS, www, ऐप शेल रूट) से CSP हेडर देखें।

केवल CSP हेडर दिखाएं (केस-इनसेंसिटिव मिलान)

curl -I https://example.com | grep -i "content-security-policy"

पूर्ण हेडर सेट से CSP और रिपोर्ट-ओनली हेडरों को तुरंत अलग करता है।

Windows (PowerShell)

CSP हेडरों का निरीक्षण करें

$r = Invoke-WebRequest -Uri https://example.com -Method Head; $r.Headers['Content-Security-Policy']; $r.Headers['Content-Security-Policy-Report-Only']

यदि मौजूद हों तो प्रवर्तन और रिपोर्ट-ओनली CSP हेडर प्रदर्शित करता है।

नई नीतियों को पहले Report-Only में तैनात करें, उल्लंघन रिपोर्टों की समीक्षा करें, फिर कस लें और लागू करें। आधुनिक ऐप्स के लिए CSP ट्यूनिंग पुनरावृत्तिमूलक है।

उपयोग के मामले

XSS के विरुद्ध साइट को सुरक्षित बनाएं

स्क्रिप्ट/स्टाइल कहाँ से लोड हो सकते हैं और इनलाइन कोड कैसे संभाला जाता है, इसे प्रतिबंधित करके इंजेक्शन कमजोरियों के प्रभाव को कम करने के लिए CSP का उपयोग करें।

  • unsafe-inline/unsafe-eval की पहचान करें और नॉन्स/हैशेस में माइग्रेशन की योजना बनाएं
  • स्क्रिप्ट-स्रोत/स्टाइल-स्रोत को विश्वसनीय मूलों तक सीमित करें
  • लुप्त रक्षात्मक निर्देश जोड़ें (base-uri, object-src, frame-ancestors)

Report-Only के साथ CSP को सुरक्षित रूप से रोल आउट करें

Content-Security-Policy-Report-Only से शुरू करके और उल्लंघनों पर पुनरावृत्ति करके, उत्पादन को तोड़े बिना CSP को क्रमिक रूप से पेश करें।

  • रिपोर्ट-ओनली नीति की उपस्थिति का पता लगाएं
  • लागू करने से पहले समझें कि क्या ब्लॉक किया जाएगा
  • अपनी रोलआउट योजना और टिकटों के लिए एक रिपोर्ट निर्यात करें

टूटी स्क्रिप्ट्स, आइफ्रेम्स, या तृतीय-पक्ष विजेट्स को डीबग करें

अत्यधिक सख्त CSP एनालिटिक्स, एम्बेड्स, या API कनेक्शनों को ब्लॉक कर सकता है। यह देखने के लिए विश्लेषक का उपयोग करें कि नीति क्या अनुमति देती है और आपको स्पष्ट स्रोतों की आवश्यकता कहाँ हो सकती है।

  • अनुमत स्क्रिप्ट/छवि/कनेक्ट/फ्रेम स्रोतों की पुष्टि करें
  • त्वरित समाधान के रूप में जोड़े गए अति-विस्तृत वाइल्डकार्ड का पता लगाएं
  • व्यापक अनुमतियों को लक्षित डोमेन से बदलें

सुरक्षा समीक्षा / अनुपालन साक्ष्य

सुरक्षा समीक्षाओं, ग्राहक प्रश्नावलियों, या आंतरिक अनुपालन के लिए वर्तमान CSP स्थिति की एक सुसंगत रिपोर्ट तैयार करें।

  • समय के साथ परिवर्तनों को ट्रैक करने के लिए JSON डाउनलोड करें
  • ऑडिट आर्टिफैक्ट्स और साझा करने के लिए PDF डाउनलोड करें

❓ Frequently Asked Questions

CSP क्या है और यह किससे सुरक्षा प्रदान करता है?

कंटेंट सिक्योरिटी पॉलिसी (CSP) एक ब्राउज़र-लागू सुरक्षा परत है जो संसाधनों के लोड होने के स्रोत और स्क्रिप्ट/स्टाइल के निष्पादन को प्रतिबंधित करती है। इसका मुख्य उपयोग क्रॉस-साइट स्क्रिप्टिंग (XSS) और इंजेक्शन हमलों के प्रभाव को कम करने के लिए किया जाता है।

CSP और CSP रिपोर्ट-ओनली में क्या अंतर है?

कंटेंट-सिक्योरिटी-पॉलिसी लागू की जाती है (यह ब्लॉक कर सकती है)। कंटेंट-सिक्योरिटी-पॉलिसी-रिपोर्ट-ओनली ब्लॉक नहीं करती; यह उल्लंघनों की रिपोर्ट करती है ताकि आप पॉलिसी को लागू करने से पहले उसे समायोजित कर सकें।

unsafe-inline को खतरनाक क्यों माना जाता है?

unsafe-inline इनलाइन स्क्रिप्ट/स्टाइल की अनुमति देता है, जो इंजेक्ट किए गए कोड को रोकने की CSP की क्षमता को कमजोर करता है। सुरक्षित दृष्टिकोण नॉन्स या हैश का उपयोग करते हैं ताकि केवल ज्ञात इनलाइन ब्लॉक की अनुमति दी जाए जबकि अप्रत्याशित इंजेक्शन अभी भी ब्लॉक रहें।

क्या मुझे नॉन्स या हैश की आवश्यकता है?

यदि आपका ऐप इनलाइन स्क्रिप्ट या स्टाइल का उपयोग करता है, तो नॉन्स/हैश CSP को प्रभावी बनाए रखने का आधुनिक तरीका है बिना कार्यक्षमता को तोड़े। वे विशिष्ट इनलाइन ब्लॉक की अनुमति देते हैं जबकि मनमाने इंजेक्शन को रोकते हैं।

क्या कोई CDN या प्रॉक्सी मेरे CSP हेडर को बदल सकता है?

हाँ। एज लेयर हेडर जोड़, मर्ज या ओवरराइड कर सकती हैं। यदि कुछ असंगत दिखाई दे, तो रॉ हेडर सक्षम करें और अंतिम प्रतिक्रिया हेडर सत्यापित करने के लिए रीडायरेक्ट का पालन करें।

क्या CSP XSS बग ठीक करने का विकल्प है?

नहीं। CSP एक डिफेंस-इन-डेप्थ नियंत्रण है। आपको अभी भी उचित आउटपुट एन्कोडिंग, सुरक्षित टेम्प्लेटिंग और इनपुट वैलिडेशन की आवश्यकता है। CSP ब्लास्ट रेडियस को कम करता है यदि कुछ छूट जाता है।

क्या यहाँ URL पेस्ट करना सुरक्षित है?

टूल प्रदान किए गए URL पर सर्वर-साइड अनुरोध करता है और निजी-नेटवर्क लक्ष्यों को ब्लॉक करता है। URL में गुप्त जानकारी (जैसे क्वेरी स्ट्रिंग में टोकन) डालने से बचें और उन सार्वजनिक URL को प्राथमिकता दें जिन पर आप भरोसा करते हैं।

Pro Tips

Best Practice

कंटेंट-सिक्योरिटी-पॉलिसी-रिपोर्ट-ओनली से शुरुआत करें, उल्लंघन एकत्र करें, फिर कसें और लागू करें। वास्तविक ऐप्स के लिए CSP पुनरावृत्त है।

Security Tip

unsafe-inline को नॉन्स या हैश रणनीति से बदलें। नीतियों को स्पष्ट और न्यूनतम रखें।

Security Tip

क्लिकजैकिंग जोखिम कम करने और केवल पुराने हेडर पर निर्भरता से बचने के लिए frame-ancestors जोड़ें।

Security Tip

त्वरित समाधान के रूप में व्यापक वाइल्डकार्ड से बचें। स्क्रिप्ट/इमेज/कनेक्ट के लिए लक्षित डोमेन और तृतीय-पक्ष आवश्यकताओं की समीक्षा करें।

Best Practice

JSON रिपोर्ट निर्यात करें और CSP परिवर्तनों को CI में ट्रैक करें ताकि जब हेडर CDN/ऐप अपडेट द्वारा संशोधित हों तो आप रिग्रेशन पकड़ सकें।

Additional Resources

कंटेंट सिक्योरिटी पॉलिसी (MDN)
Reference
कंटेंट-सिक्योरिटी-पॉलिसी हेडर (MDN)
Documentation
कंटेंट-सिक्योरिटी-पॉलिसी-रिपोर्ट-ओनली (MDN)
Documentation
XSS गाइड (OWASP)
Documentation
CSP चीट शीट (OWASP)
Reference

Other Tools

सीएसपी विश्लेषक — कंटेंट-सिक्योरिटी-पॉलिसी और रिपोर्ट-ओनली हेडर का ऑडिट करें | Encode64