Generátor CSP hlavičky
Sestavte Content-Security-Policy hlavičku z polí po direktivách, připravenou k nasazení.
Související nástroje
Generátor CSP hlavičky
Hlavička Content-Security-Policy je nejsilnější jednotlivá obrana proti XSS, jakou web může nasadit — a zároveň jedna z hlaviček, které se nejsnáz pokazí nenápadně. Vyplňte direktivy, které potřebujete, zbytek nechte prázdný a politika se sestaví sama: default-src jako základ, přičemž script-src, style-src, img-src, connect-src, font-src a frame-ancestors ho přepíšou tam, kde řeknete. Prázdná pole se úplně vynechají, což je korektní CSP: chybějící direktiva padá zpět na default-src místo náhodného povolení všeho.
Generátor za vás opraví klasickou chybu: klíčová slova CSP musí být v uvozovkách a neuvozované self neznamená „tento origin" — znamená hosta doslova pojmenovaného self. Napište self, none či unsafe-inline holé a vyjdou správně uvozované; hostitelé a schémata jako https://cdn.example.com či data: zůstanou, jak jsou.
Formát výstupu odpovídá tomu, kde bude politika žít: surový řádek hlavičky ke čtení a vložení, HTML meta tag pro statické weby bez přístupu k serveru, nebo přesné řádky add_header a Header set pro konfigurace nginx a Apache. Přepínač upgrade-insecure-requests připojí direktivu, která transparentně přepíše zatoulané http:// zdroje na https.
Začněte přísně — samotné default-src 'self' — nasaďte, otevřete konzoli prohlížeče a přidávejte zdroje, jak se objevují skutečná porušení; tahle smyčka vyrobí těsnější politiky než hádání předem. Všechno běží lokálně ve vašem prohlížeči: vaše architektura, CDN volby ani API endpointy neopustí vaše zařízení.