CSPパーサーとは？

CSP（Content Security Policy）ヘッダーを解析して、ディレクティブごとの内容を見やすく整理するツールです。設定をカテゴリ別に確認しながら、危険になりやすいパターンを簡易診断できます。

ブラウザの開発者ツールなどで取得した CSP を貼り付けると、script-src や img-src などの設定が一覧化され、'unsafe-inline' やワイルドカードのような注意点も見つけやすくなります。

使い方

1. CSPヘッダーを入力欄へ貼り付けます。
2. クイック診断の結果を確認します。
3. ディレクティブ一覧をカテゴリ別に見て内容を確認します。
4. 色分けされたバッジで、危険寄りの指定やキーワードを見分けます。

入力するとすぐに解析されるので、設定を少し変えながら比較したいときにも使いやすいです。

主な見どころ

クイック診断

次のような、よくある問題を簡易的にチェックします。

• 'unsafe-inline' や 'unsafe-eval'
• ワイルドカード *
• default-src の欠落
• http: を含む指定

診断結果は HIGH / MEDIUM / LOW で表示されます。ただし、これは基本的なパターンチェックであり、完全なセキュリティ監査ではありません。

ポリシー内訳

ディレクティブは Fetch、Document、Navigation、Reporting などのカテゴリに分けて表示されます。どこにどの制限があるかを追いやすく、全体像を整理しやすくなっています。

色分けバッジ

ソース値は種類ごとに色分けされます。

• 危険寄りの値
• 注意が必要な値
• CSPのキーワード
• ドメイン指定

設定全体をざっと見直したいときに便利です。

活用シーン

• 新しくCSPを設定したときの初期チェック
• Content Security Policy violation の原因を探したいとき
• 既存サイトのCSPに危険な指定が残っていないか見直したいとき
• 外部スクリプトやAPI接続先を追加したあとに設定を確認したいとき

入力例

default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:

このような文字列を貼り付けると、ディレクティブごとの内訳と、危険寄りの設定候補を確認できます。

使うときの注意点

• このツールの診断は簡易チェックであり、実運用の安全性を完全に保証するものではありません
• CSPが正しくても、アプリケーション全体の脆弱性がなくなるわけではありません
• 本番適用前には、Report-Only での確認や実際の動作検証も合わせて行うほうが安全です