CSP Analyzer

Analyseer Content-Security-Policy (CSP) en Content-Security-Policy-Report-Only voor elke URL. Detecteer risicovolle richtlijnen (unsafe-inline, wildcards), ontbrekende nonce/hash-strategieën, verouderde patronen en krijg actiegerichte aanbevelingen om XSS-verdediging te versterken. Ondersteunt redirects, ruwe header-inspectie, filtering, bevindingen en JSON/PDF-export.

Loading…

Over CSP Analyzer

Plak een URL om de CSP-headers te inspecteren en snel te zien of het beleid je daadwerkelijk beschermt tegen XSS en injectie. Deze analyzer benadrukt gevaarlijke toestemmingen (zoals unsafe-inline of brede wildcards), legt uit wat ontbreekt (nonce/hash-strategie, frame-beperkingen) en helpt je op weg naar een praktisch, inzetbaar CSP door veilig gebruik te maken van report-only.

Functies

  • Detecteer en leg Content-Security-Policy en Content-Security-Policy-Report-Only headers uit.
  • Markeer veelvoorkomende CSP-valkuilen: unsafe-inline, unsafe-eval, brede wildcards en te permissieve bronnen.
  • Richtlijnen voor veiligere script/style-uitvoering via nonce- en hash-gebaseerde strategieën.
  • Identificeer ontbrekende richtlijnen die vaak belangrijk zijn in praktijkverharding (bijv. frame-ancestors, object-src, base-uri).
  • Report-Only inzichten: begrijp wat geblokkeerd zou worden en hoe je CSP kunt uitrollen zonder productie te verstoren.
  • Volg redirects (tot 10) om het uiteindelijke responsbeleid te analyseren dat browsers toepassen.
  • Ruw headers-overzicht voor exacte serveroutput en debugging.
  • Bevindingen + scorekaart met "alleen problemen"-filtering.
  • Exporteer analyse naar JSON of PDF voor audits, tickets en beveiligingsbeoordelingen.
  • Inclusief bewustzijn van verouderde headers om legacy-beleid en migratiebehoeften op te sporen.

🧭 Hoe te gebruiken for csp-analyzer

1

Voer de URL in om te analyseren

Plak de pagina-URL die je wilt controleren (vaak je startpagina of app-shell).

2

Schakel redirect-volgen in indien nodig

Houd "Volg Redirects" ingeschakeld zodat de analyzer de uiteindelijke HTTPS/www/locale-bestemming bereikt waar de echte CSP wordt teruggestuurd.

3

Bekijk de scorekaart en bevindingen

Begin met bevindingen om kritieke risico's te spotten (unsafe-inline, wildcards, ontbrekende beperkingen) en te begrijpen welke richtlijnen de score bepalen.

4

Inspecteer ruwe headers bij debugging

Schakel "Toon Ruw Headers" in om exacte headernamen/waarden te verifiëren (handig als meerdere CSP-headers aanwezig zijn of een proxy/CDN ze wijzigt).

5

Exporteer een rapport voor je beveiligingsworkflow

Download JSON voor automatisering of PDF voor beveiligingsaudits en engineering-tickets.

Technische specificaties

Aanvraagmodel

Deze tool voert een URL-headerinspectie uit en richt zich op beveiligingsheaderanalyse, inclusief CSP- en report-only-beleid.

InstellingGedragStandaard
Volg omleidingenVolgt de omleidingsketen om het effectieve beleid van de uiteindelijke URL te analyserenIngeschakeld
Max. omleidingenOmleidingslimiet om loops te voorkomen10
Time-outTime-outlimiet voor aanvragen15000 ms
User-AgentIdentificeert de user-agent van de aanvraagEncode64Bot/1.0 (+https://encode64.com)
PrivénetwerkenBlokkeert toegang tot privénetwerkbereiken voor veiligheidUitgeschakeld (privénetwerken niet toegestaan)

Geïnspecteerde CSP-headers

De analyzer controleert zowel afdwingende als niet-afdwingende beleidsregels en presenteert ze in een leesbare vorm.

HeaderBetekenis
Content-Security-PolicyAfdwingend beleid dat door de browser wordt toegepast
Content-Security-Policy-Report-OnlyNiet-blokkerend beleid dat overtredingen rapporteert (handig voor uitrol en afstemming)
Sites kunnen meerdere CSP-headers uitzenden. Browsers passen combinatie-/voorrangsregels toe die lastig kunnen zijn—ruwe headers helpen bevestigen wat wordt verzonden.

Waar de analyse naar zoekt

Bevindingen zijn gebaseerd op praktische CSP-verhardingscontroles en veelvoorkomende implementatiefouten.

GebiedVoorbeelden van bevindingen
Sterkte van scriptbeleidgebruik van unsafe-inline / unsafe-eval, wildcard-bronnen, ontbrekende nonce/hash-strategie
Sterkte van stijlbeleidunsafe-inline stijlen, te brede bronnen, ontbrekend migratiepad naar nonces/hashes waar mogelijk
Weerstand tegen framing en clickjackingOntbrekende of zwakke frame-beperkingen (vaak via frame-ancestors)
Verouderde / afgeschafte patronenOude richtlijnen of patronen die gemoderniseerd moeten worden
Gereedheid voor uitrolZichtbaarheid van Report-Only aanwezigheid en rapportage-eindpunten

Opdrachtregel

Gebruik deze commando's om snel CSP-headers te inspecteren. Ze zijn handig om te valideren wat de analyzer rapporteert.

macOS / Linux

Haal response-headers op (zoek naar CSP)

curl -I https://example.com

Inspecteer Content-Security-Policy en Content-Security-Policy-Report-Only in de response-headers.

Volg redirects tijdens het controleren van headers

curl -IL https://example.com

Zorgt dat je CSP-headers van de uiteindelijke bestemming ziet (HTTPS, www, app shell route).

Toon alleen CSP-headers (hoofdletterongevoelige match)

curl -I https://example.com | grep -i "content-security-policy"

Isoleert snel CSP- en report-only headers uit de volledige headerset.

Windows (PowerShell)

Inspecteer CSP-headers

$r = Invoke-WebRequest -Uri https://example.com -Method Head; $r.Headers['Content-Security-Policy']; $r.Headers['Content-Security-Policy-Report-Only']

Toont handhavende en report-only CSP-headers indien aanwezig.

Implementeer nieuwe beleidsregels eerst in Report-Only, bekijk overtredingsrapporten, verstrak ze en handhaaf ze daarna. CSP-afstemming is iteratief voor moderne apps.

Gebruiksscenario's

Beveilig een site tegen XSS

Gebruik CSP om de impact van injectiekwetsbaarheden te verminderen door te beperken waar scripts/stijlen vandaan kunnen worden geladen en hoe inline-code wordt afgehandeld.

  • Identificeer unsafe-inline/unsafe-eval en plan een migratie naar nonces/hashes
  • Beperk script-src/style-src bronnen tot vertrouwde oorsprongen
  • Voeg ontbrekende defensieve richtlijnen toe (base-uri, object-src, frame-ancestors)

Implementeer CSP veilig met Report-Only

Voer CSP geleidelijk in zonder productie te verstoren door te beginnen met Content-Security-Policy-Report-Only en te itereren op overtredingen.

  • Detecteer report-only beleidsaanwezigheid
  • Begrijp wat zou worden geblokkeerd voordat het wordt afgedwongen
  • Exporteer een rapport voor je implementatieplan en tickets

Debug kapotte scripts, iframes of widgets van derden

Te strikte CSP kan analytics, embeds of API-verbindingen blokkeren. Gebruik de analyzer om te zien wat het beleid toestaat en waar je mogelijk expliciete bronnen nodig hebt.

  • Bevestig toegestane script/img/connect/frame bronnen
  • Detecteer te brede wildcards die als snelle oplossing zijn toegevoegd
  • Vervang brede toestemmingen door gerichte domeinen

Beveiligingsreview / nalevingsbewijs

Genereer een consistent rapport van de huidige CSP-postuur voor beveiligingsreviews, klantvragenlijsten of interne naleving.

  • JSON downloaden voor het volgen van wijzigingen in de tijd
  • PDF downloaden voor audit-artefacten en delen

❓ Frequently Asked Questions

Wat is CSP en waar beschermt het tegen?

Content Security Policy (CSP) is een door de browser afgedwongen beveiligingslaag die beperkt waar bronnen vandaan kunnen worden geladen en hoe scripts/stijlen worden uitgevoerd. Het wordt voornamelijk gebruikt om de impact van cross-site scripting (XSS) en injectie-aanvallen te verminderen.

Wat is het verschil tussen CSP en CSP Report-Only?

Content-Security-Policy wordt afgedwongen (het kan blokkeren). Content-Security-Policy-Report-Only blokkeert niet; het rapporteert overtredingen zodat je een beleid kunt afstemmen voordat je het afdwingt.

Waarom wordt unsafe-inline als gevaarlijk beschouwd?

unsafe-inline staat inline scripts/stijlen toe, wat het vermogen van CSP om geïnjecteerde code te stoppen verzwakt. Veiligere benaderingen gebruiken nonces of hashes om alleen bekende inline blokken toe te staan terwijl onverwachte injecties nog steeds worden geblokkeerd.

Heb ik nonces of hashes nodig?

Als je app inline scripts of stijlen gebruikt, zijn nonces/hashes de moderne manier om CSP effectief te houden zonder functionaliteit te breken. Ze staan specifieke inline blokken toe terwijl willekeurige injectie wordt voorkomen.

Kan een CDN of proxy mijn CSP-header wijzigen?

Ja. Edge-lagen kunnen headers toevoegen, samenvoegen of overschrijven. Als iets inconsistent lijkt, schakel dan ruwe headers in en volg redirects om de uiteindelijke response-headers te verifiëren.

Is CSP een vervanging voor het oplossen van XSS-bugs?

Nee. CSP is een defense-in-depth controle. Je hebt nog steeds juiste output-codering, veilige templating en inputvalidatie nodig. CSP vermindert de impactradius als er iets doorheen glipt.

Is het veilig om hier URL's te plakken?

De tool doet server-side verzoeken naar de opgegeven URL en blokkeert privé-netwerkdoelen. Vermijd het plaatsen van geheimen in URL's (zoals tokens in query strings) en geef de voorkeur aan openbare URL's die je vertrouwt.

Pro Tips

Best Practice

Begin met Content-Security-Policy-Report-Only, verzamel overtredingen, verstrak dan en dwing af. CSP is iteratief voor echte apps.

Best Practice

Vervang unsafe-inline door een nonce- of hash-strategie. Houd beleid expliciet en minimaal.

Best Practice

Voeg frame-ancestors toe om clickjacking-risico te verminderen en vermijd afhankelijkheid van alleen verouderde headers.

Best Practice

Vermijd brede wildcards als snelle oplossing. Geef de voorkeur aan gerichte domeinen voor scripts/afbeeldingen/connect en bekijk behoeften van derden.

CI Tip

Exporteer een JSON-rapport en volg CSP-wijzigingen in CI, zodat je regressies opvangt wanneer headers worden gewijzigd door CDN/app-updates.

Additional Resources

Content Security Policy (MDN)
Documentation
Content-Security-Policy header (MDN)
Documentation
Content-Security-Policy-Report-Only (MDN)
Documentation
XSS-gids (OWASP)
Documentation
CSP Cheat Sheet (OWASP)
Documentation

Other Tools