What does unsafe-inline mean and when is it needed?

unsafe-inline allows inline scripts and styles to execute. It significantly weakens XSS protection but is sometimes needed for legacy code. Prefer nonce-based or hash-based allowlists as alternatives.

Can CSP break my website?

Yes. An overly strict CSP will block legitimate resources your site depends on. Always test new policies in report-only mode first using Content-Security-Policy-Report-Only before enforcing them.

Should I use CSP meta tags or HTTP headers?

HTTP headers are preferred because they support all directives and cannot be modified by injected code. Meta tags do not support frame-ancestors and report-uri directives.

Validación CSP: Verificar política de seguridad de contenido

En este artículo

¿Qué es la validación CSP?

La validación de la política de seguridad de contenido (CSP) verifica si su encabezado CSP o etiqueta meta define correctamente qué recursos puede cargar el navegador. Una CSP mal configurada puede bloquear recursos legítimos, dañando su sitio, o ser demasiado permisiva, dejando brechas de seguridad.

La CSP es uno de los mecanismos de seguridad del navegador más poderosos contra los ataques de cross-site scripting (XSS) e inyección de datos. Sin embargo, su sintaxis de directivas es compleja y una sola palabra clave mal colocada puede cambiar fundamentalmente lo que la política permite.

Cómo funciona el validador CSP

El validador CSP de CheckTown analiza su cadena de política y comprueba errores de sintaxis, riesgos de seguridad y configuraciones incorrectas comunes.

Análisis de directivas — valida cada nombre de directiva y sus valores de origen según la especificación CSP
Análisis de seguridad — señala fuentes demasiado permisivas como unsafe-inline, unsafe-eval y dominios comodín
Advertencias de obsolescencia — identifica directivas obsoletas y sugiere sus reemplazos modernos

Pruébalo gratis — sin registro

Valide su CSP →

Directivas CSP clave

CSP utiliza directivas para controlar qué tipos de recursos se pueden cargar y desde dónde.

default-src — política de respaldo para todos los tipos de recursos no cubiertos por directivas más específicas
script-src — controla qué scripts pueden ejecutarse, la directiva más crítica para la prevención de XSS
style-src — define fuentes permitidas para hojas de estilo CSS y estilos en línea

Cuándo usar la validación CSP

La validación CSP es esencial antes de implementar cualquier cambio en sus encabezados de seguridad.

Desarrollo de políticas — valide las reglas CSP mientras las escribe para detectar errores de sintaxis antes del despliegue
Auditorías de seguridad — verifique los encabezados CSP existentes en busca de configuraciones demasiado permisivas
Pipelines de CI — automatice la validación CSP como parte de su proceso de despliegue

Preguntas frecuentes

¿Qué significa unsafe-inline y cuándo es necesario?

unsafe-inline permite que se ejecuten scripts y estilos en línea. Debilita significativamente la protección XSS pero a veces es necesario para código heredado. Prefiera listas de permitidos basadas en nonces o hashes como alternativas.

¿Puede CSP romper mi sitio web?

Sí. Una CSP demasiado estricta bloqueará recursos legítimos de los que depende su sitio. Pruebe siempre las nuevas políticas primero en modo solo informe usando Content-Security-Policy-Report-Only antes de aplicarlas.

¿Debo usar etiquetas meta CSP o encabezados HTTP?

Se prefieren los encabezados HTTP porque admiten todas las directivas y no pueden ser modificados por código inyectado. Las etiquetas meta no admiten las directivas frame-ancestors y report-uri.

Herramientas relacionadas

Validacion robots.txt: verifique las directivas de rastreo SEOAprenda como la validacion robots.txt detecta errores que ocultan paginas.Leer artículo → Validacion de sitemap: verifique el formato XML y las URLsAprenda como la validacion de sitemap ayuda a los motores de busqueda a indexar sus paginas.Leer artículo → Validador JWT: Verifique la estructura y las claims de JSON Web TokensAprenda como funciona la validacion JWT y las mejores practicas de seguridad.Leer artículo →

Volver al Blog

Validacion CSP: verifique los encabezados Content Security Policy