What does unsafe-inline mean and when is it needed?

unsafe-inline allows inline scripts and styles to execute. It significantly weakens XSS protection but is sometimes needed for legacy code. Prefer nonce-based or hash-based allowlists as alternatives.

Can CSP break my website?

Yes. An overly strict CSP will block legitimate resources your site depends on. Always test new policies in report-only mode first using Content-Security-Policy-Report-Only before enforcing them.

Should I use CSP meta tags or HTTP headers?

HTTP headers are preferred because they support all directives and cannot be modified by injected code. Meta tags do not support frame-ancestors and report-uri directives.

Validazione CSP: Verifica la Content Security Policy

In questo articolo

Cos'è la validazione CSP?

La validazione della Content Security Policy (CSP) verifica se il tuo header CSP o meta tag definisce correttamente le risorse che il browser è autorizzato a caricare. Una CSP mal configurata può bloccare risorse legittime, compromettendo il tuo sito, oppure essere troppo permissiva, lasciando lacune di sicurezza.

La CSP è uno dei meccanismi di sicurezza del browser più potenti contro gli attacchi di cross-site scripting (XSS) e iniezione di dati. Tuttavia, la sua sintassi di direttive è complessa e una singola parola chiave mal posizionata può cambiare fondamentalmente ciò che la policy consente.

Come funziona il validatore CSP

Il validatore CSP di CheckTown analizza la tua stringa di policy e verifica errori di sintassi, rischi di sicurezza e configurazioni errate comuni.

Analisi delle direttive — valida ogni nome di direttiva e i suoi valori sorgente rispetto alla specifica CSP
Analisi della sicurezza — segnala sorgenti eccessivamente permissive come unsafe-inline, unsafe-eval e domini con caratteri jolly
Avvisi di deprecazione — identifica le direttive deprecate e suggerisce i loro sostituti moderni

Prova gratuitamente — nessuna registrazione richiesta

Valida la tua CSP →

Direttive CSP principali

La CSP utilizza direttive per controllare quali tipi di risorse possono essere caricate e da dove.

default-src — policy di fallback per tutti i tipi di risorse non coperti da direttive più specifiche
script-src — controlla quali script possono essere eseguiti, la direttiva più critica per la prevenzione XSS
style-src — definisce le sorgenti consentite per i fogli di stile CSS e gli stili inline

Quando usare la validazione CSP

La validazione CSP è essenziale prima di distribuire qualsiasi modifica agli header di sicurezza.

Sviluppo della policy — valida le regole CSP mentre le scrivi per individuare errori di sintassi prima del deployment
Audit di sicurezza — controlla gli header CSP esistenti per configurazioni eccessivamente permissive
Pipeline CI — automatizza la validazione CSP come parte del tuo processo di deployment

Domande frequenti

Cosa significa unsafe-inline e quando è necessario?

unsafe-inline consente l'esecuzione di script e stili inline. Indebolisce significativamente la protezione XSS ma a volte è necessario per il codice legacy. Preferisci le allowlist basate su nonce o hash come alternative.

La CSP può rompere il mio sito web?

Sì. Una CSP troppo restrittiva bloccherà le risorse legittime da cui dipende il tuo sito. Testa sempre prima le nuove policy in modalità solo report usando Content-Security-Policy-Report-Only prima di applicarle.

Devo usare meta tag CSP o header HTTP?

Gli header HTTP sono preferiti perché supportano tutte le direttive e non possono essere modificati da codice iniettato. I meta tag non supportano le direttive frame-ancestors e report-uri.

Strumenti correlati

Validazione robots.txt: controlla le direttive di crawling SEOScoprite come la validazione robots.txt individua errori che nascondono pagine.Leggi l'articolo → Validazione sitemap: controlla il formato XML e gli URLScoprite come la validazione sitemap aiuta i motori di ricerca a indicizzare le pagine.Leggi l'articolo → Validatore JWT: Controlla struttura e claims dei JSON Web TokenScopri come funziona la validazione JWT e le best practice di sicurezza.Leggi l'articolo →

Torna al Blog

Validazione CSP: controlla gli header Content Security Policy