Ugrás a tartalomhoz
TextArray
100% helyi

CSP-fejléc generátor

Állíts össze Content-Security-Policy fejlécet direktívánkénti mezőkből, bevetésre készen.

Kimenet

CSP-fejléc generátor

A Content-Security-Policy fejléc a legerősebb önálló védelem az XSS ellen, amit egy weboldal bevethet — és az egyik legkönnyebben, észrevétlenül elrontható fejléc. Töltsd ki a szükséges direktívákat, hagyd üresen a többit, és a szabályzat összeáll: a default-src az alap, a script-src, style-src, img-src, connect-src, font-src és frame-ancestors ott írja felül, ahol mondod. Az üres mezők teljesen kimaradnak, ami a helyes CSP: a hiányzó direktíva a default-src-re esik vissza, ahelyett hogy véletlenül mindent engedne.

A generátor kijavítja helyetted a klasszikus hibát: a CSP kulcsszavait idézőjelezni kell, és az idézőjel nélküli self nem azt jelenti, hogy „ez az origin" — hanem egy szó szerint self nevű hosztot. Írd be a self, none vagy unsafe-inline szavakat pucéran, és helyesen idézőjelezve jönnek ki; a hosztok és sémák, mint a https://cdn.example.com vagy a data:, változatlanok maradnak.

A kimeneti formátum oda illik, ahol a szabályzat élni fog: nyers fejlécsor olvasáshoz és beillesztéshez, HTML meta tag statikus oldalakhoz szerverhozzáférés nélkül, vagy a pontos add_header és Header set sorok nginx- és Apache-konfigurációkhoz. Az upgrade-insecure-requests kapcsoló azt a direktívát fűzi hozzá, amely az eltévedt http:// alerőforrásokat átláthatóan https-re írja át.

Kezdd szigorúan — a default-src 'self' önmagában —, telepítsd, nyisd meg a böngészőkonzolt, és a valódi sértések megjelenésével add hozzá a forrásokat; ez a hurok szorosabb szabályzatot ad, mint az előzetes találgatás. Minden helyben, a böngésződben fut: az architektúrád, CDN-választásaid és API-végpontjaid soha nem hagyják el az eszközödet.

Gyakori kérdések

Miért kell a 'self'-et idézőjelezni?
Mert a CSP éppen az idézőjelekkel különbözteti meg a kulcsszavakat a hosztnevektől. Az idézőjeles 'self' azt jelenti: „az oldal saját originje"; az idézőjel nélküli self egy szó szerint self nevű szervert. A generátor az ismert kulcsszavakat automatikusan idézőjelezi.
Mi történik, ha üresen hagyok egy direktívát?
Kimarad a szabályzatból, és a böngésző az adott erőforrástípusnál a default-src-re esik vissza. Pontosan így kell CSP-t írni — csak ott írj felül, ahol a szabályok tényleg eltérnek.
Meta tag vagy fejléc?
A fejléc, amikor csak van szerverkontroll — minden választ lefed és minden direktívát támogat. A meta tag a statikus tárhely menekülőútja fejléc-hozzáférés nélkül; de vedd figyelembe, hogy a frame-ancestors és a report-uri a meta CSP-kben ignorálódik.
Honnan tudom, milyen forrásokra van szüksége az oldalamnak?
Telepíts szigorú szabályzatot (default-src 'self'), nyisd meg a devtools konzolt, és használd az oldalt. Minden blokkolt erőforrás sértést naplóz a direktívával és az URL-lel — ezeket a forrásokat tudatosan, egyenként add hozzá. Töréstől mentes próbához jó a Content-Security-Policy-Report-Only.
Feltöltődik bármi abból, amit beírok?
Nem. A szabályzat teljes egészében a böngésződben áll össze — a domainjeid és végpontjaid soha nem hagyják el az eszközödet.