Skip to main content
CheckTown
वैलिडेटर

CSP वैलिडेशन: त्रुटियों के लिए Content Security Policy हेडर जाँचें

प्रकाशित 5 मिनट का पठन
इस लेख में

CSP सत्यापन क्या है?

Content Security Policy (CSP) सत्यापन यह जाँचता है कि आपका CSP हेडर या मेटा टैग सही ढंग से यह तय करता है या नहीं कि ब्राउज़र को कौन-से संसाधन लोड करने की अनुमति है। गलत तरीके से सेट किया गया CSP या तो वैध संसाधनों को रोककर आपकी साइट तोड़ सकता है, या फिर बहुत ढीला होकर सुरक्षा में सेंध छोड़ सकता है।

CSP क्रॉस-साइट स्क्रिप्टिंग (XSS) और डेटा इंजेक्शन हमलों के खिलाफ़ ब्राउज़र के सबसे शक्तिशाली सुरक्षा तंत्रों में से एक है। हालाँकि, इसके डायरेक्टिव की संरचना जटिल है और एक भी गलत जगह रखा गया कीवर्ड यह पूरी तरह बदल सकता है कि नीति किस चीज़ की अनुमति देती है।

CSP वैलिडेटर कैसे काम करता है

CheckTown का CSP वैलिडेटर आपकी पॉलिसी स्ट्रिंग को पार्स करता है और सिंटैक्स गलतियों, सुरक्षा जोखिमों और आम गलत सेटिंग्स की जाँच करता है।

  • डायरेक्टिव पार्सिंग — CSP विनिर्देश के विरुद्ध हर डायरेक्टिव नाम और उसके स्रोत मान सत्यापित करता है
  • सुरक्षा विश्लेषण — unsafe-inline, unsafe-eval और वाइल्डकार्ड डोमेन जैसे बहुत ढीले स्रोतों को चिह्नित करता है
  • अप्रचलन चेतावनियाँ — अप्रचलित डायरेक्टिव पहचानता है और उनके आधुनिक विकल्प सुझाता है

निःशुल्क आज़माएँ — कोई साइनअप आवश्यक नहीं

अपना CSP सत्यापित करें →

प्रमुख CSP डायरेक्टिव

CSP यह नियंत्रित करने के लिए डायरेक्टिव का उपयोग करता है कि किस प्रकार के संसाधन और कहाँ से लोड किए जा सकते हैं।

  • default-src — उन सभी संसाधन प्रकारों के लिए फ़ॉलबैक नीति जो अधिक विशिष्ट डायरेक्टिव में शामिल नहीं हैं
  • script-src — नियंत्रित करता है कि कौन-सी स्क्रिप्ट चल सकती हैं; यह XSS रोकथाम के लिए सबसे अहम डायरेक्टिव है
  • style-src — CSS स्टाइलशीट और इनलाइन स्टाइल के लिए अनुमत स्रोत तय करता है

CSP सत्यापन कब इस्तेमाल करें

अपने सुरक्षा हेडर में कोई भी बदलाव लागू करने से पहले CSP सत्यापन बेहद ज़रूरी है।

  • पॉलिसी डेवलपमेंट — CSP नियम लिखते समय ही उन्हें सत्यापित करें ताकि डिप्लॉयमेंट से पहले सिंटैक्स गलतियाँ पकड़ी जा सकें
  • सुरक्षा ऑडिट — मौजूदा CSP हेडर में बहुत ढीली सेटिंग्स की जाँच करें
  • CI पाइपलाइन — CSP सत्यापन को अपनी डिप्लॉयमेंट प्रक्रिया का हिस्सा बनाकर स्वचालित करें

अक्सर पूछे जाने वाले सवाल

unsafe-inline का क्या मतलब है और इसकी ज़रूरत कब पड़ती है?

unsafe-inline इनलाइन स्क्रिप्ट और स्टाइल को चलने की अनुमति देता है। यह XSS सुरक्षा को काफ़ी कमज़ोर कर देता है, लेकिन कभी-कभी पुराने कोड के लिए इसकी ज़रूरत पड़ती है। विकल्प के तौर पर nonce-आधारित या hash-आधारित allowlist को प्राथमिकता दें।

क्या CSP मेरी वेबसाइट तोड़ सकता है?

हाँ। बहुत सख़्त CSP उन वैध संसाधनों को रोक देगा जिन पर आपकी साइट निर्भर है। नई नीतियों को लागू करने से पहले हमेशा Content-Security-Policy-Report-Only का उपयोग करके report-only मोड में जाँचें।

मुझे CSP मेटा टैग इस्तेमाल करने चाहिए या HTTP हेडर?

HTTP हेडर बेहतर हैं क्योंकि वे सभी डायरेक्टिव का समर्थन करते हैं और इंजेक्ट किए गए कोड द्वारा बदले नहीं जा सकते। मेटा टैग frame-ancestors और report-uri डायरेक्टिव का समर्थन नहीं करते।

संबंधित टूल