What does unsafe-inline mean and when is it needed?

unsafe-inline allows inline scripts and styles to execute. It significantly weakens XSS protection but is sometimes needed for legacy code. Prefer nonce-based or hash-based allowlists as alternatives.

Can CSP break my website?

Yes. An overly strict CSP will block legitimate resources your site depends on. Always test new policies in report-only mode first using Content-Security-Policy-Report-Only before enforcing them.

Should I use CSP meta tags or HTTP headers?

HTTP headers are preferred because they support all directives and cannot be modified by injected code. Meta tags do not support frame-ancestors and report-uri directives.

Validação CSP: Verificar política de segurança de conteúdo

Neste artigo

O que é validação CSP?

A validação de Política de Segurança de Conteúdo (CSP) verifica se o seu cabeçalho CSP ou metatag define corretamente quais recursos o navegador tem permissão para carregar. Uma CSP mal configurada pode bloquear recursos legítimos, quebrando seu site, ou ser muito permissiva, deixando lacunas de segurança.

A CSP é um dos mecanismos de segurança do navegador mais poderosos contra ataques de cross-site scripting (XSS) e injeção de dados. No entanto, sua sintaxe de diretivas é complexa e uma única palavra-chave mal colocada pode mudar fundamentalmente o que a política permite.

Como funciona o validador CSP

O validador CSP do CheckTown analisa sua string de política e verifica erros de sintaxe, riscos de segurança e configurações incorretas comuns.

Análise de diretivas — valida cada nome de diretiva e seus valores de origem de acordo com a especificação CSP
Análise de segurança — sinaliza fontes excessivamente permissivas como unsafe-inline, unsafe-eval e domínios curinga
Avisos de descontinuação — identifica diretivas obsoletas e sugere seus substitutos modernos

Experimente gratuitamente — sem cadastro

Valide sua CSP →

Diretivas CSP principais

A CSP usa diretivas para controlar quais tipos de recursos podem ser carregados e de onde.

default-src — política de fallback para todos os tipos de recursos não cobertos por diretivas mais específicas
script-src — controla quais scripts podem ser executados, a diretiva mais crítica para prevenção de XSS
style-src — define fontes permitidas para folhas de estilo CSS e estilos inline

Quando usar a validação CSP

A validação CSP é essencial antes de implantar qualquer alteração nos seus cabeçalhos de segurança.

Desenvolvimento de política — valide as regras CSP ao escrevê-las para detectar erros de sintaxe antes da implantação
Auditorias de segurança — verifique os cabeçalhos CSP existentes em busca de configurações excessivamente permissivas
Pipelines de CI — automatize a validação CSP como parte do seu processo de implantação

Perguntas frequentes

O que significa unsafe-inline e quando é necessário?

unsafe-inline permite que scripts e estilos inline sejam executados. Isso enfraquece significativamente a proteção XSS, mas às vezes é necessário para código legado. Prefira listas de permissões baseadas em nonce ou hash como alternativas.

A CSP pode quebrar meu site?

Sim. Uma CSP muito restritiva bloqueará recursos legítimos dos quais seu site depende. Sempre teste novas políticas primeiro no modo somente relatório usando Content-Security-Policy-Report-Only antes de aplicá-las.

Devo usar metatags CSP ou cabeçalhos HTTP?

Os cabeçalhos HTTP são preferidos porque suportam todas as diretivas e não podem ser modificados por código injetado. As metatags não suportam as diretivas frame-ancestors e report-uri.

Ferramentas relacionadas

Validacao robots.txt: verifique diretivas de crawling para SEOAprenda como a validacao robots.txt deteta erros que escondem paginas.Ler artigo → Validacao de sitemap: verifique o formato XML e os URLsAprenda como a validacao de sitemap ajuda os motores de busca a indexar as paginas.Ler artigo → Validador JWT: Verifique a estrutura e claims de JSON Web TokensAprenda como funciona a validacao JWT e as melhores praticas de seguranca.Ler artigo →

Voltar ao Blog

Validacao CSP: verifique os cabecalhos Content Security Policy