Как тестировать Content Security Policy (CSP)?

CSP тестирование: 1) Заголовок присутствует и не слишком permissive (нет default-src *, нет unsafe-inline без hash/nonce). 2) Нарушения CSP логируются через report-uri или report-to. 3) Легитимные скрипты не блокируются (DevTools Console покажет CSP violations). 4) XSS payload блокируется CSP (проверяем что не выполняется). 5) eval() заблокирован (unsafe-eval не разрешён). Тестируем используя DevTools: отключаем CSP через расширение, убеждаемся что без CSP XSS работает, с CSP — нет.