CSP-fejléc generátor
Állíts össze Content-Security-Policy fejlécet direktívánkénti mezőkből, bevetésre készen.
Kapcsolódó eszközök
CSP-fejléc generátor
A Content-Security-Policy fejléc a legerősebb önálló védelem az XSS ellen, amit egy weboldal bevethet — és az egyik legkönnyebben, észrevétlenül elrontható fejléc. Töltsd ki a szükséges direktívákat, hagyd üresen a többit, és a szabályzat összeáll: a default-src az alap, a script-src, style-src, img-src, connect-src, font-src és frame-ancestors ott írja felül, ahol mondod. Az üres mezők teljesen kimaradnak, ami a helyes CSP: a hiányzó direktíva a default-src-re esik vissza, ahelyett hogy véletlenül mindent engedne.
A generátor kijavítja helyetted a klasszikus hibát: a CSP kulcsszavait idézőjelezni kell, és az idézőjel nélküli self nem azt jelenti, hogy „ez az origin" — hanem egy szó szerint self nevű hosztot. Írd be a self, none vagy unsafe-inline szavakat pucéran, és helyesen idézőjelezve jönnek ki; a hosztok és sémák, mint a https://cdn.example.com vagy a data:, változatlanok maradnak.
A kimeneti formátum oda illik, ahol a szabályzat élni fog: nyers fejlécsor olvasáshoz és beillesztéshez, HTML meta tag statikus oldalakhoz szerverhozzáférés nélkül, vagy a pontos add_header és Header set sorok nginx- és Apache-konfigurációkhoz. Az upgrade-insecure-requests kapcsoló azt a direktívát fűzi hozzá, amely az eltévedt http:// alerőforrásokat átláthatóan https-re írja át.
Kezdd szigorúan — a default-src 'self' önmagában —, telepítsd, nyisd meg a böngészőkonzolt, és a valódi sértések megjelenésével add hozzá a forrásokat; ez a hurok szorosabb szabályzatot ad, mint az előzetes találgatás. Minden helyben, a böngésződben fut: az architektúrád, CDN-választásaid és API-végpontjaid soha nem hagyják el az eszközödet.