¿Por qué 'unsafe-inline' es peligroso?

'unsafe-inline' permite la ejecución de scripts inline, que es exactamente lo que XSS explota. Sin esta directiva, los scripts inyectados por atacantes no se ejecutarán. Use nonces o hashes como alternativa segura.

¿Cómo implemento CSP sin romper mi sitio?

Comience con Content-Security-Policy-Report-Only para monitorear sin bloquear. Revise los reportes, ajuste la política, y cuando no haya violaciones legítimas, cambie a Content-Security-Policy.

¿CSP reemplaza la sanitización de entrada?

No, CSP es una capa de defensa adicional (defense-in-depth). Siempre sanitice entradas del usuario. CSP mitiga el impacto de XSS pero no es infalible.

¿Cómo uso esta herramienta en Claude/Cursor?

Puede usar esta herramienta vía MCP. Agregue el servidor MCP de Toolypet a la configuración de su agente AI con 'npx -y @toolypet/mcp-server@latest'. Luego pida a su AI que use mcp__toolypet__csp_evaluator con sus parámetros.

¿Qué es MCP y por qué Toolypet lo soporta?

MCP (Model Context Protocol) es un estándar abierto que permite a agentes AI como Claude y Cursor usar herramientas externas. Toolypet soporta MCP para que pueda usar las más de 65 herramientas tanto en el navegador como a través de agentes AI, integrando cálculos y operaciónes en su flujo de trabajo AI.

¿Cómo uso esta herramienta en Claude/Cursor?

Puedes usar esta herramienta a través de MCP. Agrega el servidor MCP de Toolypet a la configuración de tu agente de IA con 'npx -y @toolypet/mcp-server@latest'. Luego pide a tu IA que use mcp__toolypet__csp_evaluator con tus parámetros.

¿Qué es MCP y por qué Toolypet lo soporta?

MCP (Model Context Protocol) es un estándar abierto que permite a agentes de IA como Claude y Cursor usar herramientas externas. Toolypet soporta MCP para que puedas usar las más de 65 herramientas tanto en el navegador como a través de agentes de IA, integrando cálculos y operaciónes de manera fluida en tu flujo de trabajo con IA.

Evaluador CSP | Toolypet

Evaluador CSP gratuito online. Analiza el nivel de seguridad del Content Security Policy. Disponible como MCP.

¿Qué es esto?

Un evaluador de Content Security Policy (CSP) que analiza políticas CSP en busca de vulnerabilidades, configuraciónes débiles y mejores prácticas. Proporciona puntuación de seguridad y recomendaciones.

Entrada

Cabecera CSP

Ingresa el valor completo de la cabecera CSP (sin el prefijo 'Content-Security-Policy:')

Vista previa

Ingresa una cabecera CSP o URL para analizar

Cómo Usar

Pegue su política CSP completa. La herramienta analiza cada directiva, identifica problemas de seguridad y proporciona recomendaciones específicas con niveles de severidad.

Análisis Profundo

Content Security Policy (CSP) es un encabezado HTTP que ayuda a prevenir ataques XSS y de inyección de datos controlando qué recursos puede cargar una página. Directivas principales: - default-src: Política por defecto para todos los tipos de recursos - script-src: Fuentes permitidas para scripts JavaScript - style-src: Fuentes permitidas para hojas de estilo - img-src: Fuentes permitidas para imágenes - connect-src: URLs permitidas para fetch/XHR/WebSocket - font-src: Fuentes permitidas para fuentes tipográficas - frame-src: Fuentes permitidas para iframes Mejores prácticas: - Use nonces o hashes en lugar de 'unsafe-inline' para scripts - Evite 'unsafe-eval' que permite eval() y funciones similares - Defina una política strict con default-src 'self' - Use report-uri o report-to para monitorear violaciones

Ejemplos

Evaluar la seguridad de su encabezado CSP actual
Identificar directivas débiles como 'unsafe-inline' en script-src
Verificar si su CSP previene efectivamente ataques XSS

Instalar servidor MCP de Toolypet

Añade las herramientas de Toolypet a tu agente de IA con un solo comando. Compatible con Claude Desktop, Claude Code, Cursor y cualquier cliente compatible con MCP.

Inicio rápido

npx -y @toolypet/mcp-server@latest

Configuración del cliente MCP

{
  "mcpServers": {
    "toolypet": {
      "command": "npx",
      "args": [
        "-y",
        "@toolypet/mcp-server@latest"
      ]
    }
  }
}

Nombre de herramienta:mcp__toolypet__csp_evaluator

Ejemplo de prompt

Evaluate this CSP: default-src 'self'; script-src 'unsafe-inline' 'unsafe-eval'

Ejemplo de Entrada

{
  "policy": "default-src 'self'; script-src 'unsafe-inline' 'unsafe-eval'"
}

Ejemplo de Salida

{
  "score": 30,
  "grade": "F",
  "issues": [
    {
      "severity": "high",
      "directive": "script-src",
      "message": "'unsafe-inline' allows inline script execution"
    },
    {
      "severity": "high",
      "directive": "script-src",
      "message": "'unsafe-eval' allows eval() execution"
    }
  ]
}

Preguntas Frecuentes

¿Por qué 'unsafe-inline' es peligroso?: 'unsafe-inline' permite la ejecución de scripts inline, que es exactamente lo que XSS explota. Sin esta directiva, los scripts inyectados por atacantes no se ejecutarán. Use nonces o hashes como alternativa segura.
¿Cómo implemento CSP sin romper mi sitio?: Comience con Content-Security-Policy-Report-Only para monitorear sin bloquear. Revise los reportes, ajuste la política, y cuando no haya violaciones legítimas, cambie a Content-Security-Policy.
¿CSP reemplaza la sanitización de entrada?: No, CSP es una capa de defensa adicional (defense-in-depth). Siempre sanitice entradas del usuario. CSP mitiga el impacto de XSS pero no es infalible.
¿Cómo uso esta herramienta en Claude/Cursor?: Puede usar esta herramienta vía MCP. Agregue el servidor MCP de Toolypet a la configuración de su agente AI con 'npx -y @toolypet/mcp-server@latest'. Luego pida a su AI que use mcp__toolypet__csp_evaluator con sus parámetros.
¿Qué es MCP y por qué Toolypet lo soporta?: MCP (Model Context Protocol) es un estándar abierto que permite a agentes AI como Claude y Cursor usar herramientas externas. Toolypet soporta MCP para que pueda usar las más de 65 herramientas tanto en el navegador como a través de agentes AI, integrando cálculos y operaciónes en su flujo de trabajo AI.
¿Cómo uso esta herramienta en Claude/Cursor?: Puedes usar esta herramienta a través de MCP. Agrega el servidor MCP de Toolypet a la configuración de tu agente de IA con 'npx -y @toolypet/mcp-server@latest'. Luego pide a tu IA que use mcp__toolypet__csp_evaluator con tus parámetros.
¿Qué es MCP y por qué Toolypet lo soporta?: MCP (Model Context Protocol) es un estándar abierto que permite a agentes de IA como Claude y Cursor usar herramientas externas. Toolypet soporta MCP para que puedas usar las más de 65 herramientas tanto en el navegador como a través de agentes de IA, integrando cálculos y operaciónes de manera fluida en tu flujo de trabajo con IA.

Herramientas relacionadas

Csp Builder

Security Header Checker

Cors Header Generator

Regexdev

Urldev