Was ist das?
Content-Security-Policy ist der Browser-Filter, der entscheidet, welche Skripte, Styles,
Bilder und Verbindungen eine Seite laden darf. Ein kaputter CSP-Header (mit 'unsafe-inline', fehlendem frame-ancestors oder einer einzigen zu breit
gefassten Host-Quelle) reduziert den Schutz gegen XSS, Clickjacking und Datenexfiltration auf
nahe Null. Der Validator parst einen vorhandenen Header und nennt die konkreten Schwachstellen.
Zwei Modi: einen vorhandenen Header-String einfügen (komplett browser-lokal) oder eine https-URL übergeben - unser Server holt die Response, extrahiert den CSP-Header plus die zugehörigen Security-Header, die Auswertung läuft trotzdem lokal.
Wann brauche ich das?
Sinnvoll als Sanity-Check vor dem Ausrollen einer neuen CSP, nach einem CMS-/Theme-Update,
beim Wechsel von CSP Level 2 auf Level 3 (strict-dynamic, Hash-Sources, Trusted
Types), oder um eine Drittanbieter-Seite zu prüfen, die Sie per iframe einbetten. Der
Generator nebenan baut eine Policy von Grund auf.