Skip to main content
CheckTown
Validateurs

Validation CSP : verifiez les en-tetes Content Security Policy

Publié le 5 min de lecture
Dans cet article

Qu'est-ce que la validation CSP ?

La validation CSP verifie si votre en-tete ou meta tag CSP definit correctement quelles ressources le navigateur peut charger. Une CSP mal configuree peut bloquer des ressources legitimes ou laisser des failles de securite.

CSP est l'un des mecanismes de securite les plus puissants contre le XSS. Cependant, sa syntaxe de directives est complexe et un mot-cle mal place peut changer fondamentalement ce que la politique autorise.

Comment fonctionne le validateur

Le validateur analyse votre politique et verifie les erreurs de syntaxe, les risques de securite et les erreurs de configuration.

  • Analyse des directives — valide chaque nom de directive et ses valeurs sources
  • Analyse de securite — signale les sources trop permissives comme unsafe-inline et unsafe-eval
  • Avertissements de deprecation — identifie les directives obsoletes

Essayez gratuitement — sans inscription

Validez votre CSP →

Directives CSP cles

CSP utilise des directives pour controler les types de ressources autorisees.

  • default-src — politique de repli pour tous les types de ressources
  • script-src — controle quels scripts peuvent s'executer, la directive la plus critique contre le XSS
  • style-src — definit les sources autorisees pour les feuilles de style CSS

Quand utiliser

Essentielle avant de deployer des modifications des en-tetes de securite.

  • Developpement de politique — validez les regles CSP pendant leur redaction
  • Audits de securite — verifiez les en-tetes CSP existants
  • Pipelines CI — automatisez la validation CSP dans votre processus de deploiement

FAQ

Que signifie unsafe-inline ?

unsafe-inline permet l'execution de scripts et styles inline. Il affaiblit significativement la protection XSS. Preferez les alternatives basees sur nonce ou hash.

CSP peut-il casser mon site ?

Oui. Une CSP trop stricte bloquera les ressources legitimes. Testez toujours en mode report-only d'abord.

Meta tags ou en-tetes HTTP ?

Les en-tetes HTTP sont preferes car ils supportent toutes les directives et ne peuvent pas etre modifies par du code injecte.

Outils associés

Validation robots.txt : verifiez les directives d'exploration SEODecouvrez comment la validation robots.txt detecte les erreurs qui cachent des pages.Lire l'article → Validation de sitemap : verifiez le format XML et les URLDecouvrez comment la validation de sitemap aide les moteurs de recherche a indexer vos pages.Lire l'article → Validateur JWT : Verifiez la structure et les revendications des JSON Web TokensDecouvrez comment fonctionne la validation JWT et les bonnes pratiques de securite.Lire l'article →
Retour au Blog