O que cada nota significa?

A: Excelente, segue todas as melhores práticas. B: Bom, pequenas melhorias possíveis. C: Regular, algumas falhas de segurança. D: Fraco, fraquezas significativas. F: Crítico, vulnerabilidades graves presentes.

Como eu fix an F grade?

A causa mais comum é unsafe-inline no script-src ou fontes com wildcard. Substitua unsafe-inline por políticas baseadas em nonce, restrinja wildcards a domínios específicos e adicione diretivas ausentes.

Posso have a perfect CSP?

Um CSP 'perfeito' bloqueia tudo exceto o que é explicitamente necessário. A política ideal depende da sua aplicação. O objetivo é a política mais restritiva que não quebre a funcionalidade.

Devo use report-only mode?

Sempre comece com Content-Security-Policy-Report-Only para testar sua política sem quebrar o site. Quando estiver confiante de que não há falsos positivos, mude para o modo de aplicação.

Com que frequência should I review my CSP?

Revise sempre que adicionar novos scripts de terceiros, mudar de provedor CDN ou atualizar a arquitetura da sua aplicação. Configure relatórios de violação para detectar problemas proativamente.

Como usar esta ferramenta no Claude/Cursor?

Você pode usar esta ferramenta via MCP. Adicione o servidor MCP do Toolypet à configuração do seu agente AI com 'npx -y @toolypet/mcp-server@latest'. Depois peça ao seu AI para usar mcp__toolypet__csp_evaluator com seus parâmetros.

O que é MCP e por que o Toolypet o suporta?

MCP (Model Context Protocol) é um padrão aberto que permite que agentes AI como Claude e Cursor usem ferramentas externas. O Toolypet suporta MCP para que você possa usar todas as mais de 65 ferramentas tanto no navegador quanto através de agentes AI, integrando cálculos e operações perfeitamente ao seu fluxo de trabalho com AI.

Avaliador CSP | Toolypet

Avaliador CSP gratuito online. Analise o nivel de seguranca do Content Security Policy. Disponivel como MCP.

O que é isso?

O CSP Evaluator analisa sua Content Security Policy em busca de fraquezas de segurança, configurações incorretas e violações de melhores práticas. Ele classifica sua política e fornece recomendações específicas para melhoria.

Entrada

Cabeçalho CSP

Digite o valor completo do cabeçalho CSP (sem o prefixo 'Content-Security-Policy:')

Pré-visualização

Digite um cabeçalho CSP ou URL para analisar

Como Usar

Cole o valor do seu cabeçalho CSP no campo de entrada. O avaliador analisa cada diretiva, verifica bypasses comuns e fornece uma nota geral de segurança (A a F) com achados detalhados e passos de remediação.

Análise Aprofundada

Problemas comuns de CSP e sua severidade: Crítico: - 'unsafe-inline' em script-src sem nonce/hash (permite XSS) - 'unsafe-eval' em script-src (permite exploração de eval()) - Wildcard (*) em default-src ou script-src - Diretiva default-src ausente Alto: - Domínios CDN muito amplos em script-src (ex: *.cloudflare.com) - frame-ancestors ausente (risco de clickjacking) - Sem restrição de object-src (ataques via Flash/plugins) Médio: - 'unsafe-inline' em style-src (risco limitado de XSS via injeção CSS) - Restrição de base-uri ausente (sequestro de tag base) - Restrição de form-action ausente Baixo: - report-uri/report-to não configurado - upgrade-insecure-requests ausente - Uso de diretivas obsoletas O grau A requer: sem unsafe-inline para scripts, sem unsafe-eval, default-src restritivo, frame-ancestors definido e relatório de violações configurado.

Exemplos

Avalie o cabeçalho CSP do seu site em produção
Verifique if your CSP properly prevents XSS attacks
Identificar quais diretivas precisam ser reforçadas para nota A

Instalar servidor MCP do Toolypet

Adicione as ferramentas do Toolypet ao seu agente de IA com um único comando. Compatível com Claude Desktop, Claude Code, Cursor e qualquer cliente compatível com MCP.

Início rápido

npx -y @toolypet/mcp-server@latest

Configuração do cliente MCP

{
  "mcpServers": {
    "toolypet": {
      "command": "npx",
      "args": [
        "-y",
        "@toolypet/mcp-server@latest"
      ]
    }
  }
}

Nome da ferramenta:mcp__toolypet__csp_evaluator

Exemplo de prompt

Evaluate this CSP: default-src 'self'; script-src 'unsafe-inline' 'unsafe-eval'

Exemplo de Entrada

{
  "policy": "default-src 'self'; script-src 'unsafe-inline' 'unsafe-eval'"
}

Exemplo de Saída

{
  "score": 30,
  "grade": "F",
  "issues": [
    {
      "severity": "high",
      "directive": "script-src",
      "message": "'unsafe-inline' allows inline script execution"
    },
    {
      "severity": "high",
      "directive": "script-src",
      "message": "'unsafe-eval' allows eval() execution"
    }
  ]
}

Perguntas Frequentes

O que cada nota significa?: A: Excelente, segue todas as melhores práticas. B: Bom, pequenas melhorias possíveis. C: Regular, algumas falhas de segurança. D: Fraco, fraquezas significativas. F: Crítico, vulnerabilidades graves presentes.
Como eu fix an F grade?: A causa mais comum é unsafe-inline no script-src ou fontes com wildcard. Substitua unsafe-inline por políticas baseadas em nonce, restrinja wildcards a domínios específicos e adicione diretivas ausentes.
Posso have a perfect CSP?: Um CSP 'perfeito' bloqueia tudo exceto o que é explicitamente necessário. A política ideal depende da sua aplicação. O objetivo é a política mais restritiva que não quebre a funcionalidade.
Devo use report-only mode?: Sempre comece com Content-Security-Policy-Report-Only para testar sua política sem quebrar o site. Quando estiver confiante de que não há falsos positivos, mude para o modo de aplicação.
Com que frequência should I review my CSP?: Revise sempre que adicionar novos scripts de terceiros, mudar de provedor CDN ou atualizar a arquitetura da sua aplicação. Configure relatórios de violação para detectar problemas proativamente.
Como usar esta ferramenta no Claude/Cursor?: Você pode usar esta ferramenta via MCP. Adicione o servidor MCP do Toolypet à configuração do seu agente AI com 'npx -y @toolypet/mcp-server@latest'. Depois peça ao seu AI para usar mcp__toolypet__csp_evaluator com seus parâmetros.
O que é MCP e por que o Toolypet o suporta?: MCP (Model Context Protocol) é um padrão aberto que permite que agentes AI como Claude e Cursor usem ferramentas externas. O Toolypet suporta MCP para que você possa usar todas as mais de 65 ferramentas tanto no navegador quanto através de agentes AI, integrando cálculos e operações perfeitamente ao seu fluxo de trabalho com AI.

Ferramentas relacionadas

Csp Builder

Security Header Checker

Cors Header Generator

Regexdev

Urldev