Was ist Content Security Policy (CSP)?

A: Ausgezeichnet, befolgt alle Best Practices. B: Gut, kleine Verbesserungen möglich. C: Befriedigend, einige Sicherheitslücken. D: Mangelhaft, erhebliche Schwachstellen vorhanden.

Warum ist unsafe-inline gefährlich?

unsafe-inline erlaubt die Ausführung von Inline-Skripten und -Stilen, was XSS-Angriffe ermöglicht. Angreifer, die HTML injizieren können, können beliebigen Code ausführen. Verwenden Sie stattdessen Nonces oder Hashes für vertrauenswürdige Inline-Skripte.

Was ist der Unterschied zwischen CSP Level 2 und Level 3?

CSP Level 2 fügte Nonces, Hashes und die source-Ausdruck 'strict-dynamic' hinzu. Level 3 ergänzt 'report-to' (ersetzt report-uri), 'strict-dynamic' Verbesserungen und navigate-to Direktive für noch feinere Kontrolle.

Wie teste ich meine CSP ohne die Website zu beschädigen?

Verwenden Sie Content-Security-Policy-Report-Only Header statt Content-Security-Policy. Dies meldet Verstöße, blockiert aber nichts. Überwachen Sie die Berichte, verfeinern Sie die Richtlinie, und wechseln Sie erst dann zum erzwingenden Modus.

Was macht eine gute CSP aus?

Eine gute CSP: Kein 'unsafe-inline' oder 'unsafe-eval', verwendet Nonces oder Hashes für Inline-Skripte, beschränkt Quellen auf bekannte Domains, enthält default-src, hat frame-ancestors gegen Clickjacking, und wird mit Report-Only zuerst getestet.

Wie verwende ich dieses Tool in Claude/Cursor?

Sie können dieses Tool über MCP verwenden. Fügen Sie den Toolypet MCP-Server mit 'npx -y @toolypet/mcp-server@latest' zu Ihrer KI-Agent-Konfiguration hinzu. Bitten Sie dann Ihre KI, mcp__toolypet__csp_evaluator mit Ihren Parametern zu verwenden.

Was ist MCP und warum unterstützt Toolypet es?

MCP (Model Context Protocol) ist ein offener Standard, der KI-Agenten wie Claude und Cursor die Nutzung externer Tools ermöglicht. Toolypet unterstützt MCP, damit Sie alle 65+ Tools sowohl im Browser als auch über KI-Agenten nutzen können, wodurch Berechnungen und Operationen nahtlos in Ihren KI-Workflow integriert werden.

CSP-Evaluator | Toolypet

Kostenloser Online-CSP-Evaluator. Content-Security-Policy-Sicherheitsniveau analysieren. Als MCP verfugbar.

Was ist das?

Der CSP Evaluator analysiert und bewertet Content Security Policy-Header. Bietet Schwachstellenerkennung und Verbesserungsvorschläge.

Eingabe

CSP-Header

Vollständigen CSP-Header-Wert eingeben (ohne das Präfix 'Content-Security-Policy:')

Vorschau

CSP-Header oder URL zur Analyse eingeben

Anleitung

Fügen Sie den CSP-Header ein. Bewertungs-Score, Schwachstellen und Vorschläge werden sofort angezeigt.

Vertiefung

Häufige CSP-Probleme und ihre Schweregrade: Kritisch: 'unsafe-inline' in script-src ohne Nonce/Hash (erlaubt XSS). 'unsafe-eval' in script-src (erlaubt eval()-basierte Angriffe). Wildcard (*) in script-src. Fehlende default-src. Hoch: Zu breite Host-Quellen (*.example.com statt cdn.example.com). Fehlende frame-ancestors (Clickjacking möglich). Fehlende base-uri-Einschränkung. Mittel: Fehlende object-src Einschränkung (Flash/Java-Plugins). Fehlende form-action Einschränkung. report-uri statt report-to (veraltet). Migrationsstrategie: 1. Report-Only-Modus aktivieren. 2. Verstöße sammeln und analysieren. 3. Richtlinie schrittweise verschärfen. 4. Auf erzwingenden Modus umschalten. 5. Kontinuierlich überwachen und anpassen.

Beispiele

Analysieren Sie eine Content Security Policy auf Sicherheitslücken
Überprüfen Sie, ob eine CSP vor XSS-Angriffen schützt
Vergleichen Sie eine CSP mit Best Practices und erhalten Sie Verbesserungsvorschläge

Toolypet MCP-Server installieren

Fügen Sie Toolypet-Tools mit einem einzigen Befehl zu Ihrem KI-Agenten hinzu. Funktioniert mit Claude Desktop, Claude Code, Cursor und jedem MCP-kompatiblen Client.

Schnellstart

npx -y @toolypet/mcp-server@latest

MCP-Client-Konfiguration

{
  "mcpServers": {
    "toolypet": {
      "command": "npx",
      "args": [
        "-y",
        "@toolypet/mcp-server@latest"
      ]
    }
  }
}

Tool-Name:mcp__toolypet__csp_evaluator

Beispiel-Prompt

Evaluate this CSP: default-src 'self'; script-src 'unsafe-inline' 'unsafe-eval'

Eingabebeispiel

{
  "policy": "default-src 'self'; script-src 'unsafe-inline' 'unsafe-eval'"
}

Ausgabebeispiel

{
  "score": 30,
  "grade": "F",
  "issues": [
    {
      "severity": "high",
      "directive": "script-src",
      "message": "'unsafe-inline' allows inline script execution"
    },
    {
      "severity": "high",
      "directive": "script-src",
      "message": "'unsafe-eval' allows eval() execution"
    }
  ]
}

Häufig gestellte Fragen

Was ist Content Security Policy (CSP)?: A: Ausgezeichnet, befolgt alle Best Practices. B: Gut, kleine Verbesserungen möglich. C: Befriedigend, einige Sicherheitslücken. D: Mangelhaft, erhebliche Schwachstellen vorhanden.
Warum ist unsafe-inline gefährlich?: unsafe-inline erlaubt die Ausführung von Inline-Skripten und -Stilen, was XSS-Angriffe ermöglicht. Angreifer, die HTML injizieren können, können beliebigen Code ausführen. Verwenden Sie stattdessen Nonces oder Hashes für vertrauenswürdige Inline-Skripte.
Was ist der Unterschied zwischen CSP Level 2 und Level 3?: CSP Level 2 fügte Nonces, Hashes und die source-Ausdruck 'strict-dynamic' hinzu. Level 3 ergänzt 'report-to' (ersetzt report-uri), 'strict-dynamic' Verbesserungen und navigate-to Direktive für noch feinere Kontrolle.
Wie teste ich meine CSP ohne die Website zu beschädigen?: Verwenden Sie Content-Security-Policy-Report-Only Header statt Content-Security-Policy. Dies meldet Verstöße, blockiert aber nichts. Überwachen Sie die Berichte, verfeinern Sie die Richtlinie, und wechseln Sie erst dann zum erzwingenden Modus.
Was macht eine gute CSP aus?: Eine gute CSP: Kein 'unsafe-inline' oder 'unsafe-eval', verwendet Nonces oder Hashes für Inline-Skripte, beschränkt Quellen auf bekannte Domains, enthält default-src, hat frame-ancestors gegen Clickjacking, und wird mit Report-Only zuerst getestet.
Wie verwende ich dieses Tool in Claude/Cursor?: Sie können dieses Tool über MCP verwenden. Fügen Sie den Toolypet MCP-Server mit 'npx -y @toolypet/mcp-server@latest' zu Ihrer KI-Agent-Konfiguration hinzu. Bitten Sie dann Ihre KI, mcp__toolypet__csp_evaluator mit Ihren Parametern zu verwenden.
Was ist MCP und warum unterstützt Toolypet es?: MCP (Model Context Protocol) ist ein offener Standard, der KI-Agenten wie Claude und Cursor die Nutzung externer Tools ermöglicht. Toolypet unterstützt MCP, damit Sie alle 65+ Tools sowohl im Browser als auch über KI-Agenten nutzen können, wodurch Berechnungen und Operationen nahtlos in Ihren KI-Workflow integriert werden.