Content-Security-Policy 헤더를 지시문, 소스 표현식, 보수적인 보안 검토 힌트로 분석합니다. 데이터는 서버로 전송되지 않습니다.
관련 작업 흐름을 이어가거나 이 작업 다음에 자주 사용하는 도구를 열어보세요.
Content-Security-Policy 헤더 값이나 전체 헤더 줄을 붙여넣습니다.
지시문과 소스 표현식 수를 확인합니다.
위험한 소스 표현식과 중복 지시문 발견 항목을 확인합니다.
정규화된 정책을 복사하거나 다운로드해 배포 노트에 사용합니다.
발견 항목은 전체 보안 감사가 아니라 검토 힌트로 사용합니다.
프로덕션 배포를 변경하기 전에 브라우저 DevTools에서 복사한 CSP 헤더를 검토합니다.
script 또는 image 정책을 강화하면서 unsafe-inline, unsafe-eval, 와일드카드, data:, HTTP 소스를 찾습니다.
긴 CSP 문자열을 지시문별 줄로 정리해 장애 노트나 PR 리뷰에 사용합니다.
report-only CSP 헤더를 적용 모드로 전환하기 전에 검토합니다.
Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; img-src https: data:헤더 이름: content-security-policy
지시문: 3
소스 표현식: 5
발견 항목: 1
고위험 발견 항목: 0
경고: 1
발견 항목:
- 경고: img-src의 data: 소스
정규화된 정책:
default-src 'self';
script-src 'self' https://cdn.example.com;
img-src https: data:;default-src *; script-src 'unsafe-inline' 'unsafe-eval' http://cdn.example.com헤더 이름: 없음
지시문: 2
소스 표현식: 4
발견 항목: 4
고위험 발견 항목: 3
경고: 4
발견 항목:
- 높음: default-src의 와일드카드 소스
- 높음: script-src의 unsafe-inline
- 높음: script-src의 unsafe-eval
- 경고: script-src의 HTTP 소스Content-Security-Policy 또는 Content-Security-Policy-Report-Only 접두사가 있으면 제거합니다.
정책 지시문은 세미콜론 기준으로 나누고 지시문 이름은 소문자로 정규화합니다.
소스 표현식은 복사한 호스트명과 토큰을 확인할 수 있도록 보존합니다.
중복 지시문과 빈 지시문 조각은 오류 대신 발견 항목으로 표시합니다.
unsafe-inline, unsafe-eval, 와일드카드, data:, HTTP 소스 같은 흔한 표현식을 보수적으로 확인합니다.
A. 아니요. 이 도구는 보수적인 검토 힌트를 보여줍니다. 정책이 안전하거나 완전하다는 인증을 제공하지 않습니다.
A. 아니요. 헤더 값이나 전체 헤더 줄을 직접 붙여넣어야 합니다. 도구는 브라우저에서 로컬로 실행되며 URL을 가져오지 않습니다.
A. missing default-src, unsafe-inline, unsafe-eval, 와일드카드 소스, data: 소스, HTTP 소스, 중복 지시문 같은 흔한 항목을 표시합니다.
더 많은 개발자 도구를 둘러보세요
MD5·SHA-1/256/512 해시를 브라우저에서 즉시 계산.
JWT를 디코딩해 헤더와 페이로드를 로컬에서 안전하게 확인.
특수문자를 엔터티로 변환하거나 복원.
원시 HTTP 요청 또는 응답 헤더를 그룹화된 디버깅 출력으로 파싱합니다.
붙여넣은 HTTP 응답 보안 헤더와 보수적인 검토 힌트를 확인합니다.
URL을 프로토콜, 도메인, 경로, 쿼리 파라미터 등으로 분해하여 분석해주는 도구입니다.
CSP 헤더 분석기: DevTools, curl, CDN 로그, 배포 노트에서 복사한 CSP 헤더를 로컬에서 분석해 지시문과 흔한 위험 힌트를 확인합니다.
표준: 처리 방법 및 옵션
💡 실시간 모드: 입력하는 대로 자동으로 결과가 업데이트됩니다.