Generator nagłówka CSP
Zbuduj nagłówek Content-Security-Policy z pól per dyrektywa, gotowy do wdrożenia.
Powiązane narzędzia
Generator nagłówka CSP
Nagłówek Content-Security-Policy to najsilniejsza pojedyncza obrona przed XSS, jaką strona może wdrożyć — i zarazem jeden z nagłówków najłatwiejszych do subtelnego zepsucia. Wypełnij potrzebne dyrektywy, resztę zostaw pustą, a polityka złoży się sama: default-src jako baza, a script-src, style-src, img-src, connect-src, font-src i frame-ancestors nadpisują ją tam, gdzie wskażesz. Puste pola są całkowicie pomijane, co jest poprawnym CSP: nieobecna dyrektywa wraca do default-src, zamiast przypadkiem pozwalać na wszystko.
Generator naprawia za ciebie klasyczny błąd: słowa kluczowe CSP muszą być w cudzysłowach, a niecytowane self nie znaczy „ten origin" — znaczy hosta dosłownie nazwanego self. Wpisz self, none czy unsafe-inline goło, a wyjdą poprawnie zacytowane; hosty i schematy jak https://cdn.example.com czy data: zostają, jak są.
Format wyjścia pasuje do miejsca, gdzie polityka zamieszka: surowa linia nagłówka do czytania i wklejenia, meta tag HTML dla statycznych stron bez dostępu do serwera, albo dokładne linie add_header i Header set dla konfiguracji nginx i Apache. Przełącznik upgrade-insecure-requests dokleja dyrektywę, która przezroczyście przepisuje zabłąkane podzasoby http:// na https.
Zacznij surowo — samo default-src 'self' — wdróż, otwórz konsolę przeglądarki i dodawaj źródła w miarę pojawiania się prawdziwych naruszeń; ta pętla daje szczelniejsze polityki niż zgadywanie z góry. Wszystko działa lokalnie w twojej przeglądarce: architektura, wybory CDN i endpointy API nigdy nie opuszczają twojego urządzenia.