CSP-Header-Validator

Nach CSP Level 3 (W3C WD)

Bestehenden Content-Security-Policy-Header per Paste oder URL-Lookup gegen CSP-Level-3 + BSI IT-Grundschutz prüfen.

Was ist das, und wann brauche ich es?

Was ist das?

Content-Security-Policy ist der Browser-Filter, der entscheidet, welche Skripte, Styles, Bilder und Verbindungen eine Seite laden darf. Ein kaputter CSP-Header (mit 'unsafe-inline', fehlendem frame-ancestors oder einer einzigen zu breit gefassten Host-Quelle) reduziert den Schutz gegen XSS, Clickjacking und Datenexfiltration auf nahe Null. Der Validator parst einen vorhandenen Header und nennt die konkreten Schwachstellen.

Zwei Modi: einen vorhandenen Header-String einfügen (komplett browser-lokal) oder eine https-URL übergeben - unser Server holt die Response, extrahiert den CSP-Header plus die zugehörigen Security-Header, die Auswertung läuft trotzdem lokal.

Wann brauche ich das?

Sinnvoll als Sanity-Check vor dem Ausrollen einer neuen CSP, nach einem CMS-/Theme-Update, beim Wechsel von CSP Level 2 auf Level 3 (strict-dynamic, Hash-Sources, Trusted Types), oder um eine Drittanbieter-Seite zu prüfen, die Sie per iframe einbetten. Der Generator nebenan baut eine Policy von Grund auf.

Im Paste-Modus läuft alles im Browser. Der Server sieht den Header nicht.

Beispiele: ·

Bitte einen CSP-Header einfügen oder eine URL angeben.