CSP Report Analyzer

セキュリティヘッダー/ポリシーをブラウザ内で診断します。入力はサーバーへ送信しません。段階導入前の一次確認に使えます。

状態

ブラウザ内で処理します。入力はサーバーへ送信しません。まずはここで一次切り分けしてください。

使い方

CSPレポートJSONを貼り付けて「解析」。違反ディレクティブやブロック元を整理して修正候補を絞ります。

注意(このツール)

  • レポート項目はブラウザやreporting仕様で差があります。欠損項目があっても異常とは限りません。
  • 単発レポートで即断せず、発生頻度と再現条件を集めてからポリシー変更してください。

このページについて

何をするツール?

report-to / report-uri の CSP レポートを解析し、違反の原因を整理します。

切り分け手順(おすすめ)

  • CSPレポートJSONを貼り付け
  • violation を確認
  • CSP Inspect で現行ポリシーを確認

推奨(実務)

  • report-only で段階導入
  • 違反の多い directive から整理
  • nonce/hash を活用して unsafe-inline を削減
  • CSP Inspect
  • CSP Builder
  • Security Headers Audit

このツールでできること

  • CSPレポートの主要項目を抽出
  • 違反の概要を一覧化

注意(運用)

  • 推奨値は環境依存です。機能要件と衝突しないか検証してから適用してください。
  • 本番では段階導入とレポート監視を併用してください。

参照仕様

  • MDN: CSP Reports

FAQ

CSPレポートのノイズはどう扱うべきですか?

同一原因の重複をまとめ、頻度と影響で優先度を決める運用が有効です。

report-only と enforce はどう使い分けますか?

まず report-only で違反傾向を把握し、修正後に enforce へ移行するのが安全です。

参考リンク

  1. MDN: CSP Reporting

症状別ケーススタディ(このページ向け)

CSP違反レポートから実害の高い違反を抽出するページです。ノイズと本命を分離します。

  • violated-directive ごとに違反件数を把握する
  • blocked-uri のドメイン別に傾向を確認する
  • 同一原因の重複レポートを統合して扱う

実装時チェックリスト(このページ向け)

  • 修正優先度は件数と影響範囲の両軸で決める
  • 既知ノイズのフィルタ条件を運用に組み込む
  • 修正後に違反件数の減少を定量確認する
  • 定期的にポリシーと実運用差分を再監査する

site_map ルールに基づいて、次に確認すべきページを表示しています。

  1. Permissions-Policy Inspect — Permissions-Policy を解析して機能制限を確認
  2. CSP Inspect — CSPディレクティブを分解して評価
  3. Referrer-Policy Inspect — Referrer-Policy を解析して送信範囲を確認
  4. CSP Builder — テンプレートからCSPを組み立て
  5. Security Headers Audit — 主要セキュリティヘッダーの有無を一括監査
  6. Security Headers Recommendation — 不足ヘッダーに対する推奨値を提案
  7. Security Headers Fix Plan — 優先度付きの修正ステップを作成
  8. CSP Nonce/Hash Helper — CSP用 nonce/hash を生成して照合

セキュリティヘッダー

不足ヘッダーの検出から修正計画まで一気に進める