Trình Phân Tích CSP

Phân tích Content-Security-Policy (CSP) và Content-Security-Policy-Report-Only cho bất kỳ URL nào. Phát hiện các chỉ thị rủi ro (unsafe-inline, ký tự đại diện), chiến lược nonce/hash bị thiếu, các mẫu lỗi thời và cung cấp các khuyến nghị hành động để tăng cường khả năng phòng thủ XSS. Hỗ trợ chuyển hướng, kiểm tra tiêu đề thô, lọc, phát hiện và xuất JSON/PDF.

Loading…

Giới thiệu Công cụ Phân tích CSP

Dán URL để kiểm tra các tiêu đề CSP và nhanh chóng xem liệu chính sách có thực sự bảo vệ bạn khỏi XSS và tiêm mã hay không. Công cụ phân tích này làm nổi bật các quyền cho phép nguy hiểm (như unsafe-inline hoặc ký tự đại diện rộng), giải thích những gì còn thiếu (chiến lược nonce/hash, hạn chế khung) và giúp bạn hướng tới một CSP thực tế, có thể triển khai bằng cách sử dụng report-only một cách an toàn.

Tính năng

  • Phát hiện và giải thích các tiêu đề Content-Security-Policy và Content-Security-Policy-Report-Only.
  • Đánh dấu các lỗi CSP phổ biến: unsafe-inline, unsafe-eval, ký tự đại diện rộng và các nguồn quá dễ dãi.
  • Hướng dẫn thực thi script/style an toàn hơn thông qua các chiến lược dựa trên nonce và hash.
  • Xác định các chỉ thị bị thiếu thường quan trọng trong việc tăng cường bảo mật thực tế (ví dụ: frame-ancestors, object-src, base-uri).
  • Thông tin chi tiết về Report-Only: hiểu những gì sẽ bị chặn và cách triển khai CSP mà không làm gián đoạn sản xuất.
  • Theo dõi chuyển hướng (tối đa 10) để phân tích chính sách phản hồi cuối cùng mà trình duyệt áp dụng.
  • Chế độ xem tiêu đề thô để kiểm tra đầu ra máy chủ chính xác và gỡ lỗi.
  • Phát hiện + thẻ điểm với bộ lọc "chỉ vấn đề".
  • Xuất phân tích sang JSON hoặc PDF để kiểm toán, ghi chú và đánh giá bảo mật.
  • Bao gồm nhận thức về tiêu đề lỗi thời để phát hiện các chính sách cũ và nhu cầu di chuyển.

🧭 Cách sử dụng for csp-analyzer

1

Nhập URL để phân tích

Dán URL trang bạn muốn kiểm tra (thường là trang chủ hoặc vỏ ứng dụng của bạn).

2

Bật theo dõi chuyển hướng nếu cần

Giữ "Theo dõi Chuyển hướng" được bật để công cụ phân tích đến đích HTTPS/www/ngôn ngữ cuối cùng nơi CSP thực sự được trả về.

3

Xem lại thẻ điểm và các phát hiện

Bắt đầu với các phát hiện để phát hiện rủi ro nghiêm trọng (unsafe-inline, ký tự đại diện, hạn chế bị thiếu) và hiểu chỉ thị nào đang ảnh hưởng đến điểm số.

4

Kiểm tra tiêu đề thô khi gỡ lỗi

Bật "Hiển thị Tiêu đề Thô" để xác minh tên/giá trị tiêu đề chính xác (hữu ích nếu có nhiều tiêu đề CSP hoặc proxy/CDN sửa đổi chúng).

5

Xuất báo cáo cho quy trình bảo mật của bạn

Tải xuống JSON để tự động hóa hoặc PDF để kiểm toán bảo mật và ghi chú kỹ thuật.

Thông số kỹ thuật

Mô hình yêu cầu

Công cụ này thực hiện kiểm tra tiêu đề URL và tập trung vào phân tích tiêu đề bảo mật, bao gồm các chính sách CSP và report-only.

Thiết lậpHành viMặc định
Theo dõi Chuyển hướngTheo dõi chuỗi chuyển hướng để phân tích chính sách hiệu quả được trả về bởi URL cuối cùngĐã bật
Số lần Chuyển hướng Tối đaGiới hạn chuyển hướng để ngăn vòng lặp10
Thời gian chờGiới hạn thời gian chờ yêu cầu15000 ms
User-AgentXác định user agent của yêu cầuEncode64Bot/1.0 (+https://encode64.com)
Mạng riêng tưChặn truy cập vào các dải mạng riêng tư vì lý do an toànĐã tắt (không cho phép mạng riêng tư)

Các tiêu đề CSP được kiểm tra

Trình phân tích kiểm tra cả chính sách thực thi và không thực thi, và trình bày chúng dưới dạng dễ đọc.

Tiêu đềÝ nghĩa
Content-Security-PolicyChính sách thực thi được áp dụng bởi trình duyệt
Content-Security-Policy-Report-OnlyChính sách không chặn chỉ báo cáo vi phạm (hữu ích cho việc triển khai và điều chỉnh)
Các trang web có thể phát ra nhiều tiêu đề CSP. Trình duyệt áp dụng các quy tắc kết hợp/ưu tiên có thể phức tạp—các tiêu đề thô giúp xác nhận những gì đang được gửi.

Những gì phân tích tìm kiếm

Các phát hiện dựa trên các kiểm tra tăng cường CSP thực tế và các lỗi triển khai phổ biến.

Lĩnh vựcVí dụ về phát hiện
Độ mạnh chính sách Scriptviệc sử dụng unsafe-inline / unsafe-eval, nguồn ký tự đại diện, thiếu chiến lược nonce/hash
Độ mạnh chính sách Stylestyle unsafe-inline, nguồn quá rộng, thiếu lộ trình chuyển đổi sang nonce/hash khi khả thi
Khả năng chống Framing và clickjackingThiếu hoặc hạn chế khung yếu (thường qua frame-ancestors)
Mẫu cũ / lỗi thờiCác chỉ thị hoặc mẫu cũ cần được hiện đại hóa
Sẵn sàng triển khaiKhả năng hiển thị của chế độ Báo cáo-Chỉ và các điểm cuối báo cáo

Dòng lệnh

Sử dụng các lệnh này để kiểm tra nhanh các tiêu đề CSP. Chúng hữu ích để xác thực những gì công cụ phân tích báo cáo.

macOS / Linux

Lấy tiêu đề phản hồi (tìm kiếm CSP)

curl -I https://example.com

Kiểm tra Content-Security-Policy và Content-Security-Policy-Report-Only trong các tiêu đề phản hồi.

Theo dõi chuyển hướng trong khi kiểm tra tiêu đề

curl -IL https://example.com

Đảm bảo bạn thấy các tiêu đề CSP từ điểm đến cuối cùng (HTTPS, www, app shell route).

Chỉ hiển thị tiêu đề CSP (khớp không phân biệt chữ hoa/thường)

curl -I https://example.com | grep -i "content-security-policy"

Nhanh chóng tách biệt các tiêu đề CSP và báo cáo-chỉ từ toàn bộ tập hợp tiêu đề.

Windows (PowerShell)

Kiểm tra tiêu đề CSP

$r = Invoke-WebRequest -Uri https://example.com -Method Head; $r.Headers['Content-Security-Policy']; $r.Headers['Content-Security-Policy-Report-Only']

Hiển thị các tiêu đề CSP thực thi và báo cáo-chỉ nếu có.

Triển khai chính sách mới ở chế độ Báo cáo-Chỉ trước, xem xét báo cáo vi phạm, sau đó thắt chặt và thực thi. Việc điều chỉnh CSP là lặp đi lặp lại cho các ứng dụng hiện đại.

Các trường hợp sử dụng

Củng cố trang web chống lại XSS

Sử dụng CSP để giảm tác động của các lỗ hổng tiêm mã bằng cách hạn chế nơi tập lệnh/kiểu có thể tải từ và cách xử lý mã nội tuyến.

  • Xác định unsafe-inline/unsafe-eval và lập kế hoạch chuyển đổi sang nonces/hashes
  • Giới hạn nguồn script-src/style-src đến các nguồn gốc đáng tin cậy
  • Thêm các chỉ thị phòng thủ còn thiếu (base-uri, object-src, frame-ancestors)

Triển khai CSP an toàn với Báo cáo-Chỉ

Giới thiệu CSP dần dần mà không làm gián đoạn sản xuất bằng cách bắt đầu với Content-Security-Policy-Report-Only và lặp lại trên các vi phạm.

  • Phát hiện sự hiện diện của chính sách báo cáo-chỉ
  • Hiểu điều gì sẽ bị chặn trước khi thực thi
  • Xuất báo cáo cho kế hoạch triển khai và các ticket của bạn

Gỡ lỗi tập lệnh, iframe hoặc tiện ích bên thứ ba bị hỏng

CSP quá nghiêm ngặt có thể chặn phân tích, nhúng hoặc kết nối API. Sử dụng công cụ phân tích để xem chính sách cho phép điều gì và bạn có thể cần nguồn rõ ràng ở đâu.

  • Xác nhận các nguồn script/img/connect/frame được phép
  • Phát hiện ký tự đại diện quá rộng được thêm như một bản sửa lỗi nhanh
  • Thay thế các cho phép rộng bằng các tên miền mục tiêu

Đánh giá bảo mật / bằng chứng tuân thủ

Tạo báo cáo nhất quán về tình trạng CSP hiện tại cho các đánh giá bảo mật, bảng câu hỏi khách hàng hoặc tuân thủ nội bộ.

  • Tải JSON để theo dõi thay đổi theo thời gian
  • Tải PDF để lưu trữ kiểm tra và chia sẻ

❓ Frequently Asked Questions

CSP là gì và nó bảo vệ chống lại điều gì?

Chính sách Bảo mật Nội dung (CSP) là một lớp bảo mật được trình duyệt thực thi, hạn chế nguồn tải tài nguyên và cách kịch bản/kiểu thực thi. Nó chủ yếu được sử dụng để giảm tác động của tấn công chèn mã liên trang (XSS) và tấn công tiêm.

Sự khác biệt giữa CSP và CSP Report-Only là gì?

Content-Security-Policy được thực thi (nó có thể chặn). Content-Security-Policy-Report-Only không chặn; nó báo cáo vi phạm để bạn có thể điều chỉnh chính sách trước khi thực thi.

Tại sao unsafe-inline được coi là nguy hiểm?

unsafe-inline cho phép kịch bản/kiểu nội tuyến, làm suy yếu khả năng của CSP trong việc ngăn chặn mã được tiêm. Cách tiếp cận an toàn hơn sử dụng nonce hoặc hash để chỉ cho phép các khối nội tuyến đã biết trong khi vẫn chặn các mũi tiêm không mong muốn.

Tôi có cần nonce hoặc hash không?

Nếu ứng dụng của bạn sử dụng kịch bản hoặc kiểu nội tuyến, nonce/hash là cách hiện đại để giữ CSP hiệu quả mà không phá vỡ chức năng. Chúng cho phép các khối nội tuyến cụ thể trong khi ngăn chặn việc tiêm tùy ý.

CDN hoặc proxy có thể thay đổi tiêu đề CSP của tôi không?

Có. Các lớp biên có thể thêm, hợp nhất hoặc ghi đè tiêu đề. Nếu có gì đó có vẻ không nhất quán, hãy bật tiêu đề thô và theo dõi chuyển hướng để xác minh tiêu đề phản hồi cuối cùng.

CSP có thay thế việc sửa lỗi XSS không?

Không. CSP là một biện pháp kiểm soát phòng thủ theo chiều sâu. Bạn vẫn cần mã hóa đầu ra đúng cách, tạo mẫu an toàn và xác thực đầu vào. CSP giảm bán kính thiệt hại nếu có gì đó lọt qua.

Có an toàn khi dán URL ở đây không?

Công cụ thực hiện yêu cầu phía máy chủ đến URL được cung cấp và chặn các mục tiêu mạng riêng. Tránh đặt bí mật trong URL (như token trong chuỗi truy vấn) và ưu tiên các URL công khai mà bạn tin tưởng.

Pro Tips

Best Practice

Bắt đầu với Content-Security-Policy-Report-Only, thu thập vi phạm, sau đó thắt chặt và thực thi. CSP là lặp đi lặp lại cho các ứng dụng thực tế.

Best Practice

Thay thế unsafe-inline bằng chiến lược nonce hoặc hash. Giữ chính sách rõ ràng và tối thiểu.

Best Practice

Thêm frame-ancestors để giảm rủi ro clickjacking và tránh chỉ dựa vào tiêu đề cũ.

Best Practice

Tránh ký tự đại diện rộng như một giải pháp nhanh. Ưu tiên tên miền mục tiêu cho kịch bản/hình ảnh/kết nối và xem xét nhu cầu của bên thứ ba.

Best Practice

Xuất báo cáo JSON và theo dõi thay đổi CSP trong CI để bạn phát hiện các hồi quy khi tiêu đề bị sửa đổi bởi cập nhật CDN/ứng dụng.

Additional Resources

Chính sách Bảo mật Nội dung (MDN)
Documentation
Tiêu đề Content-Security-Policy (MDN)
Documentation
Content-Security-Policy-Report-Only (MDN)
Documentation
Hướng dẫn XSS (OWASP)
Documentation
Bảng gian lận CSP (OWASP)
Documentation

Other Tools

Công cụ Phân tích CSP — kiểm tra Content-Security-Policy và các tiêu đề report-only | Encode64