What does unsafe-inline mean and when is it needed?

unsafe-inline allows inline scripts and styles to execute. It significantly weakens XSS protection but is sometimes needed for legacy code. Prefer nonce-based or hash-based allowlists as alternatives.

Can CSP break my website?

Yes. An overly strict CSP will block legitimate resources your site depends on. Always test new policies in report-only mode first using Content-Security-Policy-Report-Only before enforcing them.

Should I use CSP meta tags or HTTP headers?

HTTP headers are preferred because they support all directives and cannot be modified by injected code. Meta tags do not support frame-ancestors and report-uri directives.

CSP-validatie: Content Security Policy controleren

In dit artikel

Wat is CSP-validatie?

Content Security Policy (CSP)-validatie controleert of uw CSP-header of metatag correct definieert welke resources de browser mag laden. Een verkeerd geconfigureerde CSP kan legitieme resources blokkeren en uw site breken, of te permissief zijn, waardoor beveiligingslekken ontstaan.

CSP is een van de krachtigste browserbeveiligingsmechanismen tegen cross-site scripting (XSS) en data-injectieaanvallen. De directivesyntaxis is echter complex en een enkel verkeerd geplaatst sleutelwoord kan fundamenteel veranderen wat het beleid toestaat.

Hoe de CSP-validator werkt

De CSP-validator van CheckTown analyseert uw beleidsreeks en controleert op syntaxisfouten, beveiligingsrisico's en veelvoorkomende verkeerde configuraties.

Directiveontleding — valideert elke directivenaam en bronwaarden aan de hand van de CSP-specificatie
Beveiligingsanalyse — markeert te permissieve bronnen zoals unsafe-inline, unsafe-eval en wildcarddomeinen
Deprecatiewaarschuwingen — identificeert verouderde directives en stelt moderne vervangingen voor

Probeer gratis — geen aanmelding vereist

Valideer uw CSP →

Belangrijkste CSP-directives

CSP gebruikt directives om te bepalen welke soorten resources geladen kunnen worden en van waar.

default-src — fallbackbeleid voor alle resourcetypen die niet door specifiekere directives worden gedekt
script-src — bepaalt welke scripts uitgevoerd kunnen worden, de meest kritieke directive voor XSS-preventie
style-src — definieert toegestane bronnen voor CSS-stijlbladen en inlinestijlen

Wanneer CSP-validatie te gebruiken

CSP-validatie is essentieel voor het implementeren van wijzigingen aan uw beveiligingsheaders.

Beleidsontwikkeling — valideer CSP-regels tijdens het schrijven om syntaxisfouten voor implementatie te detecteren
Beveiligingsaudits — controleer bestaande CSP-headers op te permissieve configuraties
CI-pipelines — automatiseer CSP-validatie als onderdeel van uw implementatieproces

Veelgestelde vragen

Wat betekent unsafe-inline en wanneer is het nodig?

unsafe-inline staat inline scripts en stijlen toe om uit te voeren. Dit verzwakt de XSS-beveiliging aanzienlijk maar is soms nodig voor legacy code. Gebruik bij voorkeur nonce- of hash-gebaseerde lijsten als alternatieven.

Kan CSP mijn website kapotmaken?

Ja. Een te strikte CSP blokkeert legitieme resources waarvan uw site afhankelijk is. Test nieuwe beleidsregels altijd eerst in rapportage-only modus met Content-Security-Policy-Report-Only voor u ze handhaaaft.

Moet ik CSP-metatags of HTTP-headers gebruiken?

HTTP-headers hebben de voorkeur omdat ze alle directives ondersteunen en niet door geïnjecteerde code kunnen worden gewijzigd. Metatags ondersteunen geen frame-ancestors- en report-uri-directives.

Gerelateerde Tools

robots.txt-validatie: controleer crawl-richtlijnen voor SEOLeer hoe robots.txt-validatie fouten opvangt die pagina's verbergen voor zoekmachines.Artikel lezen → Sitemapvalidatie: controleer XML-sitemapformaat en URL'sLeer hoe sitemapvalidatie zorgt dat zoekmachines al uw pagina's kunnen vinden.Artikel lezen → JWT Validator: Controleer JSON Web Token structuur en claimsLeer hoe JWT-validatie werkt en beveiligings-best practices.Artikel lezen →

Terug naar Blog

CSP-validatie: controleer Content Security Policy headers