CSP Policy Inspector

Paste raw CSP header atau tag <meta> untuk menganalisis keamanan Content-Security-Policy. Tool ini mendeteksi penggunaan unsafe-inline, wildcard berisiko, dan celah umum lainnya.

Input Policy

Masukkan string CSP lengkap (contoh: default-src 'self'; ...).

Menunggu input
Pintasan: Ctrl/⌘ + Enter untuk langsung analisis

Analisis dilakukan client-side. Tidak ada data yang dikirim ke server.

Evaluasi Keamanan

Ringkasan risiko berdasarkan direktif yang ditemukan.

Belum dianalisis
🛡ī¸

Hasil evaluasi akan muncul di sini.

Parsed Directives

0 directives
Detail parsing direktif akan ditampilkan di sini.

Cara Pakai Singkat

  1. Ambil nilai header Content-Security-Policy atau atribut content dari tag <meta>.
  2. Paste string policy lengkap ke kolom input, lalu klik Analisis Policy atau gunakan pintasan Ctrl/⌘ + Enter.
  3. Baca ringkasan risiko di panel Evaluasi Keamanan dan detail direktif di bagian Parsed Directives.

Catatan Etis & Batasan

Gunakan tool ini terutama untuk aplikasi yang kamu kelola sendiri atau yang kamu punya izin eksplisit untuk diuji. Analisis dilakukan sepenuhnya di sisi client, tanpa menyimpan atau mengirim policy ke server IsVal.id, dan tool ini tidak melakukan request tambahan ke target.

FAQ Singkat CSP

Apa bedanya header CSP dan meta CSP?
Keduanya bisa dipakai, tetapi header HTTP biasanya lebih kuat dan sulit dimodifikasi pihak lain dibanding tag <meta> di HTML.

Apakah selalu salah jika ada 'unsafe-inline'?
Secara umum 'unsafe-inline' menurunkan keamanan, tetapi beberapa aplikasi legacy masih menggunakannya sementara sambil bertahap memigrasi ke script non-inline dan nonce/hash.

Apakah policy di sini bisa langsung di-copy ke produksi?
Sebaiknya tidak langsung. Gunakan hasil analisis sebagai panduan, lalu uji terlebih dahulu di staging atau dengan mode report-only sebelum dipakai di produksi.

Studi Kasus Singkat

  • Migrasi dari tanpa CSP ke CSP dasar: mulai dengan default-src 'self', lalu tambah direktif khusus seperti img-src, script-src, dan style-src secara bertahap.
  • Menghapus wildcard berbahaya: mengganti script-src * atau https: dengan daftar domain yang benar-benar dipercaya (CDN resmi, domain sendiri).
  • Mengunci embedding: menambahkan frame-ancestors 'none' atau domain terbatas agar halaman tidak bisa di-embed pihak lain dan mengurangi risiko clickjacking.