Analisador de CSP
Análise profunda de Content Security Policy — decodifica todas as diretivas, detecta unsafe-inline/unsafe-eval, identifica origens de rastreadores permitidas em script-src e classifica a força da CSP de A-F com um ângulo de privacidade.
Como Usar Analisador de CSP
- 1Digite a URL do site que você deseja analisar.
- 2Veja cada diretiva CSP decodificada com análise de segurança por diretiva.
- 3Revise as origens de rastreadores permitidas no seu script-src (ângulo de privacidade).
- 4Use as recomendações para fortalecer sua política.
ZenovayAnalytics
Veja quem está no seu site agora mesmo.
- Acompanhamento de visitantes em tempo real
- Privacidade em primeiro lugar, sem banner de cookies
- Configurado em dois minutos
Ferramentas Relacionadas
Gerador de Senha
Gere senhas fortes e aleatórias com comprimento, caracteres e complexidade personalizáveis.Verificador de Força da Senha
Verifique o quão forte é sua senha. Obtenha um tempo estimado de quebra e sugestões de melhoria.Gerador HMAC
Gere assinaturas HMAC usando SHA-256, SHA-384 ou SHA-512 com a Web Crypto API.Criptografia/Descriptografia AES
Criptografe e descriptografe texto usando AES-GCM com derivação de chave PBKDF2. Executa totalmente no seu navegador.Perguntas Frequentes
O que é Content Security Policy (CSP)?▾
Content Security Policy é um cabeçalho de resposta HTTP que informa aos navegadores quais fontes têm permissão para carregar scripts, estilos, imagens e outros recursos na sua página. É a principal defesa contra ataques de Cross-Site Scripting (XSS) — um CSP devidamente configurado evita que scripts injetados sejam executados.
Por que 'unsafe-inline' em script-src é um problema?▾
'unsafe-inline' permite JavaScript inline (scripts em tags <script>, atributos onclick, URLs javascript:). Este é o vetor XSS mais comum — significa que qualquer script inline injetado pode ser executado. Usar nonces (tokens criptográficos únicos gerados por requisição) ou hashes (SHA-256 de scripts permitidos) mitiga isso mantendo a funcionalidade inline.
Qual é o ângulo de privacidade do CSP?▾
Suas diretivas script-src e connect-src são essencialmente uma lista de permissões de quem pode executar código e receber dados da sua página. Se você colocou Google Analytics, Facebook, TikTok e LinkedIn na lista branca do seu CSP, está explicitamente autorizando essas empresas a executar código em suas páginas e potencialmente receber todos os dados que elas coletam.
Contra o que 'object-src: none' protege?▾
object-src controla os elementos <object>, <embed> e <applet> — historicamente usados para carregar Flash, Java e outros plugins. Definir object-src: 'none' evita que qualquer conteúdo de plugin seja carregado, eliminando uma classe inteira de ataques e possível exfiltração de dados de terceiros via conteúdo de plugin.
Qual é a diferença entre CSP e CSP-Report-Only?▾
Content-Security-Policy aplica a política — os navegadores bloqueiam violações. Content-Security-Policy-Report-Only apenas registra violações em um endpoint de relatório sem bloquear nada. O Report-Only é útil para testar um novo CSP antes de aplicá-lo, mas não fornece nenhuma proteção real. Um erro comum é implantar apenas o modo Report-Only e esquecer de ativá-lo.
Como este analisador de CSP difere de outras ferramentas?▾
A maioria das ferramentas de CSP verifica apenas unsafe-inline e diretivas ausentes. Este analisador também cruza sua script-src e connect-src contra um banco de dados de 35+ domínios de rastreadores e publicidade conhecidos, mostrando exatamente quais corretores de dados e redes de publicidade têm permissão explícita no CSP para executar código.
O que é a diretiva base-uri e por que ela importa?▾
base-uri controla quais URLs podem ser usadas no elemento HTML <base>. Se um site for vulnerável a injeção de HTML (mas não a injeção de script), um atacante pode injetar <base href="https://atacante.com/"> para redirecionar todos os URLs relativos — como destinos de ação de formulário — para seu servidor. Definir base-uri: 'none' ou base-uri: 'self' fecha essa vulnerabilidade.