Přeskočit na obsah
TextArray
100% lokálně

Generátor CSP hlavičky

Sestavte Content-Security-Policy hlavičku z polí po direktivách, připravenou k nasazení.

Výstup

Generátor CSP hlavičky

Hlavička Content-Security-Policy je nejsilnější jednotlivá obrana proti XSS, jakou web může nasadit — a zároveň jedna z hlaviček, které se nejsnáz pokazí nenápadně. Vyplňte direktivy, které potřebujete, zbytek nechte prázdný a politika se sestaví sama: default-src jako základ, přičemž script-src, style-src, img-src, connect-src, font-src a frame-ancestors ho přepíšou tam, kde řeknete. Prázdná pole se úplně vynechají, což je korektní CSP: chybějící direktiva padá zpět na default-src místo náhodného povolení všeho.

Generátor za vás opraví klasickou chybu: klíčová slova CSP musí být v uvozovkách a neuvozované self neznamená „tento origin" — znamená hosta doslova pojmenovaného self. Napište self, none či unsafe-inline holé a vyjdou správně uvozované; hostitelé a schémata jako https://cdn.example.com či data: zůstanou, jak jsou.

Formát výstupu odpovídá tomu, kde bude politika žít: surový řádek hlavičky ke čtení a vložení, HTML meta tag pro statické weby bez přístupu k serveru, nebo přesné řádky add_header a Header set pro konfigurace nginx a Apache. Přepínač upgrade-insecure-requests připojí direktivu, která transparentně přepíše zatoulané http:// zdroje na https.

Začněte přísně — samotné default-src 'self' — nasaďte, otevřete konzoli prohlížeče a přidávejte zdroje, jak se objevují skutečná porušení; tahle smyčka vyrobí těsnější politiky než hádání předem. Všechno běží lokálně ve vašem prohlížeči: vaše architektura, CDN volby ani API endpointy neopustí vaše zařízení.

Časté dotazy

Proč musí být 'self' v uvozovkách?
Protože CSP rozlišuje klíčová slova od hostitelů právě uvozovkami. 'self' s uvozovkami znamená „vlastní origin této stránky"; self bez nich znamená server doslova pojmenovaný self. Generátor známá klíčová slova uvozuje automaticky.
Co se stane, když direktivu nechám prázdnou?
Vynechá se z politiky a prohlížeč pro daný typ zdroje padne zpět na default-src. Přesně tak se CSP má psát — přepište jen tam, kde se pravidla opravdu liší.
Mám použít meta tag nebo hlavičku?
Hlavičku vždy, když máte kontrolu nad serverem — pokrývá každou odpověď a podporuje všechny direktivy. Meta tag je záloha pro statický hosting bez kontroly hlaviček, ale pozor: frame-ancestors a report-uri se v meta CSP ignorují.
Jak zjistím, které zdroje můj web potřebuje?
Nasaďte přísnou politiku (default-src 'self'), otevřete konzoli devtools a web používejte. Každý zablokovaný zdroj zaloguje porušení s direktivou a URL — ty zdroje přidávejte vědomě, jeden po druhém. Na zkoušení bez rozbití čehokoli zvažte Content-Security-Policy-Report-Only.
Nahrává se něco z toho, co napíšu, někam?
Ne. Politika se sestavuje výhradně ve vašem prohlížeči — vaše domény a endpointy nikdy neopustí vaše zařízení.