CSP评估器 | Toolypet
免费在线CSP评估器。分析内容安全策略的安全级别并发现弱点。支持MCP。
这是什么?
CSP评估器,分析内容安全策略(Content Security Policy)的安全弱点、配置错误和最佳实践合规性。提供安全评级和详细的改进建议。
输入
输入您的Content Security Policy头值
预览
粘贴CSP进行评估
使用方法
粘贴CSP策略字符串,工具会分析每个指令的安全性。查看整体评级(A-F)和各指令的详细评估。根据建议修复安全问题。
深入解析
CSP是防御XSS和数据注入攻击的强大工具。评估关键点:script-src不应使用'unsafe-inline'或'unsafe-eval',应使用nonce或hash;不应有通配符(*)来源。
严格CSP基于nonce,每次请求生成唯一随机值,只允许携带正确nonce的脚本执行。这比基于域名白名单的CSP更安全。
示例
- 评估现有CSP:分析当前网站CSP的安全级别
- 检查最佳实践:验证CSP是否遵循安全最佳实践
- 识别安全漏洞:发现CSP配置中的潜在弱点
安装 Toolypet MCP 服务器
通过一条命令将 Toolypet 工具添加到您的 AI 代理。支持 Claude Desktop、Claude Code、Cursor 及所有 MCP 兼容客户端。
快速开始
npx -y @toolypet/mcp-server@latest
MCP 客户端配置
{
"mcpServers": {
"toolypet": {
"command": "npx",
"args": [
"-y",
"@toolypet/mcp-server@latest"
]
}
}
}工具名称:
mcp__toolypet__csp_evaluator提示示例
Evaluate this CSP: default-src 'self'; script-src 'unsafe-inline' 'unsafe-eval'
输入示例
{
"policy": "default-src 'self'; script-src 'unsafe-inline' 'unsafe-eval'"
}输出示例
{
"score": 30,
"grade": "F",
"issues": [
{
"severity": "high",
"directive": "script-src",
"message": "'unsafe-inline' allows inline script execution"
},
{
"severity": "high",
"directive": "script-src",
"message": "'unsafe-eval' allows eval() execution"
}
]
}常见问题
- 每个评级代表什么?
- A:优秀,遵循所有最佳实践。B:良好,有小改进空间。C:一般,有安全缺口。D:差,有重大弱点。F:严重,存在重大漏洞。
- 如何修复F评级?
- 最常见原因是script-src中的unsafe-inline或通配符来源。替换为基于nonce的策略,限制通配符到具体域名,添加缺失的指令。
- 什么是strict-dynamic?
- strict-dynamic允许被信任的脚本(通过nonce)加载的子脚本也被信任。简化了动态脚本加载的CSP管理。
- 应该使用report-only模式吗?
- 始终先使用Content-Security-Policy-Report-Only测试策略。确认无误报后再切换到强制执行模式。
- CSP应该多久审查一次?
- 每当添加新的第三方脚本、更换CDN或更新架构时审查。设置违规报告可以主动发现问题。
- 如何在Claude/Cursor中使用此工具?
- 您可以通过MCP使用此工具。将Toolypet MCP服务器添加到您的AI代理配置中,使用 'npx -y @toolypet/mcp-server@latest'。然后让AI使用对应的MCP工具及相应参数。
- 什么是MCP?为什么Toolypet支持它?
- MCP(模型上下文协议)是一个开放标准,允许Claude和Cursor等AI代理使用外部工具。Toolypet支持MCP,让您可以在浏览器和AI代理中使用所有65+工具,将计算和操作无缝集成到AI工作流程中。