CSP Nonce/Hash Helper
セキュリティヘッダー/ポリシーをブラウザ内で診断します。入力はサーバーへ送信しません。段階導入前の一次確認に使えます。
状態
ブラウザ内で処理します。入力はサーバーへ送信しません。まずはここで一次切り分けしてください。
使い方
script/style の内容を貼り付けて「ハッシュ計算」、または「nonce生成」。CSP 用の値を出力します。
注意(このツール)
- nonce は毎リクエストで生成するのが推奨です。
このページについて
何をするツール?
nonce の生成と、script/style のハッシュ(sha256/384/512)計算を行います。
CSP の script-src / style-src の設定を素早く作るための補助ツールです。
使いどころ
- インラインスクリプトを許可したい(nonce/hash)
- CSP違反を減らすためにハッシュを追加したい
- テスト環境で nonce/hashes を素早く試したい
nonce と hash の違い
nonce はリクエストごとにランダムな値で、対象の script/style に埋め込みます。
hash はインライン内容のハッシュ値で、同じ内容であれば再利用できます。
このツールでできること
- nonce の生成(Base64)
- script/style の SHA-256/384/512 ハッシュ算出
- CSP 記法(nonce- / sha256- 形式)の出力
切り分け手順(おすすめ)
- 対象ヘッダーを貼り付ける
- 不足・過剰なポリシーを確認する
- Report-Onlyや段階反映で検証する
注意(運用)
- 推奨値は環境依存です。機能要件と衝突しないか検証してから適用してください。
- 本番では段階導入とレポート監視を併用してください。
参照仕様
- CSP Level 3(W3C)
- MDN: Content-Security-Policy
FAQ
nonce と hash はどちらを使うべきですか?
動的テンプレート中心なら nonce、固定インライン中心なら hash が運用しやすいです。
同じ nonce を再利用してもよいですか?
推奨されません。nonce はリクエストごとに新規生成する運用が基本です。
参考リンク
次に見る(診断順)
site_map ルールに基づいて、次に確認すべきページを表示しています。
- CSP Builder — テンプレートからCSPを組み立て
- Security Headers Fix Plan — 優先度付きの修正ステップを作成
- CSP Inspect — CSPディレクティブを分解して評価
- Security Headers Recommendation — 不足ヘッダーに対する推奨値を提案
- Security Headers Audit — 主要セキュリティヘッダーの有無を一括監査
- CSP Report Analyzer — CSPレポートJSONを解析して違反傾向を把握
- HSTS Inspect — HSTS設定を解析してHTTPS強制を確認
- Permissions-Policy Inspect — Permissions-Policy を解析して機能制限を確認
同テーマの導線
セキュリティヘッダー
不足ヘッダーの検出から修正計画まで一気に進める
- Security Headers Audit — 主要セキュリティヘッダーの有無を一括監査
- Security Headers Recommendation — 不足ヘッダーに対する推奨値を提案
- Security Headers Fix Plan — 優先度付きの修正ステップを作成
- CSP Builder — テンプレートからCSPを組み立て
- CSP Report Analyzer — CSPレポートJSONを解析して違反傾向を把握
- CSP Inspect — CSPディレクティブを分解して評価
- HSTS Inspect — HSTS設定を解析してHTTPS強制を確認
- Permissions-Policy Inspect — Permissions-Policy を解析して機能制限を確認
- Referrer-Policy Inspect — Referrer-Policy を解析して送信範囲を確認
- X-Frame-Options Inspect — X-Frame-Options を解析してクリックジャッキング対策を確認
- X-Content-Type-Options Inspect — X-Content-Type-Options を解析して nosniff を確認
Example
alert('hello');