ZenovayTools

CSP アナライザー

Content Security Policy(CSP)を深く分析します — すべてのディレクティブをデコード、unsafe-inlineとunsafe-evalを検出、script-srcでホワイトリスト化されたトラッカーオリジンを識別、プライバシー観点からCSP強度をA-Fでグレード化します。

CSP アナライザーの使い方

  1. 1分析したいウェブサイトのURLを入力します。
  2. 2すべてのCSPディレクティブがデコードされ、ディレクティブごとのセキュリティ分析が表示されます。
  3. 3script-srcでホワイトリスト化されたトラッカーオリジン(プライバシー観点)を確認します。
  4. 4推奨事項を使用してポリシーを強化します。
Zenovayアナリティクス

今、誰がサイトにいるかを把握。

  • リアルタイムの訪問者トラッキング
  • プライバシーファースト、クッキーバナーなし
  • 2分でセットアップ
Zenovayを見る

関連ツール

パスワードジェネレーター
カスタマイズ可能な長さ、文字、複雑性で強力でランダムなパスワードを生成します。
パスワード強度チェッカー
パスワードの強さをチェックします。推定クラック時間と改善提案を取得します。
HMACジェネレータ
Web Crypto APIを使用してSHA-256、SHA-384、またはSHA-512でHMAC署名を生成します。
AES暗号化/復号化
AES-GCMおよびPBKDF2キー導出を使用してテキストを暗号化および復号化します。ブラウザー内で完全に実行されます。

よくある質問

Content Security Policy(CSP)とは何ですか?
Content Security Policyは、ブラウザにページで読み込むことが許可されているスクリプト、スタイル、イメージ、および他のリソースのソースを通知するHTTPレスポンスヘッダーです。これはCross-Site Scripting(XSS)攻撃に対する主要な防御です。適切に構成されたCSPは、攻撃者がXSS脆弱性を見つけたとしても、注入されたスクリプトが実行されるのを防ぎます。
script-src内の'unsafe-inline'が問題なのはなぜですか?
'unsafe-inline'は、インラインJavaScript(<script>タグのスクリプト、onclick属性、javascript: URL)を許可します。これは最も一般的なXSSベクトルです。注入されたインラインスクリプトが実行できることを意味します。nonce(リクエストごとに生成される暗号化ワンタイムトークン)またはハッシュ(許可されたスクリプトのSHA-256)を使用すると、すべてのインラインスクリプトを有効にせずに特定のインラインスクリプトを許可することができます。
CSPのプライバシー観点は何ですか?
script-srcおよびconnect-src指示は、本質的に、コードを実行し、ページからデータを受け取ることができる人の許可リストです。Google Analytics、Facebook、TikTok、LinkedInをCSPでホワイトリストに登録した場合、これらの企業がページでコードを実行し、ユーザーデータを抜き取る可能性があることを明示的に認可しています。これはHTTPヘッダーに隠れたGDPRデータプロセッサ認可リストです。
'object-src: none'は何から保護しますか?
object-srcは<object>、<embed>、<applet>要素を制御します。これらは歴史的にFlash、Java、および他のプラグインを読み込むために使用されます。object-src: 'none'を設定すると、プラグインコンテンツが読み込まれるのを防ぎ、攻撃のクラス全体と、プラグインコンテンツを介した潜在的なサードパーティデータ抜き出しを排除します。これは最新のサイトで常に「none」に設定される必要があります。
CSPとCSP-Report-Onlyの違いは何ですか?
Content-Security-Policyはポリシーを適用します。ブラウザは違反をブロックします。Content-Security-Policy-Report-Onlyは、何もブロックしないでレポートエンドポイントに違反をログするだけです。Report-Onlyは、新しいCSPを適用する前にテストするのに便利ですが、実際の保護はゼロです。一般的な間違いは、適用されたヘッダーの代わりにReport-Onlyを誤ってデプロイすることです。
このCSPアナライザーは他のツールとどう異なりますか?
ほとんどのCSPツールは、unsafe-inlineと欠落した指示のみをチェックします。このアナライザーは、script-srcおよびconnect-srcを35以上の既知のトラッカーおよび広告ドメインのデータベースと相互参照し、どのデータブローカーおよび広告ネットワークがサイトで実行するための明示的なCSP許可を持っているかを正確に表示します。これは独自のプライバシー焦点アングルです。
base-uri指示とは何で、なぜ重要ですか?
base-uriは<base> HTML要素で使用できるURLを制御します。サイトがHTMLインジェクション(ただしスクリプトインジェクションではない)に対して脆弱な場合、攻撃者は<base href="https://attacker.com/">を注入して、フォームアクションターゲットなどのすべての相対URLをサーバーにリダイレクトできます。base-uri: 'none'またはbase-uri: 'self'を設定すると、この攻撃ベクトルが排除されます。