Przejdź do treści
TextArray
100% lokalnie

Generator nagłówka CSP

Zbuduj nagłówek Content-Security-Policy z pól per dyrektywa, gotowy do wdrożenia.

Wynik

Generator nagłówka CSP

Nagłówek Content-Security-Policy to najsilniejsza pojedyncza obrona przed XSS, jaką strona może wdrożyć — i zarazem jeden z nagłówków najłatwiejszych do subtelnego zepsucia. Wypełnij potrzebne dyrektywy, resztę zostaw pustą, a polityka złoży się sama: default-src jako baza, a script-src, style-src, img-src, connect-src, font-src i frame-ancestors nadpisują ją tam, gdzie wskażesz. Puste pola są całkowicie pomijane, co jest poprawnym CSP: nieobecna dyrektywa wraca do default-src, zamiast przypadkiem pozwalać na wszystko.

Generator naprawia za ciebie klasyczny błąd: słowa kluczowe CSP muszą być w cudzysłowach, a niecytowane self nie znaczy „ten origin" — znaczy hosta dosłownie nazwanego self. Wpisz self, none czy unsafe-inline goło, a wyjdą poprawnie zacytowane; hosty i schematy jak https://cdn.example.com czy data: zostają, jak są.

Format wyjścia pasuje do miejsca, gdzie polityka zamieszka: surowa linia nagłówka do czytania i wklejenia, meta tag HTML dla statycznych stron bez dostępu do serwera, albo dokładne linie add_header i Header set dla konfiguracji nginx i Apache. Przełącznik upgrade-insecure-requests dokleja dyrektywę, która przezroczyście przepisuje zabłąkane podzasoby http:// na https.

Zacznij surowo — samo default-src 'self' — wdróż, otwórz konsolę przeglądarki i dodawaj źródła w miarę pojawiania się prawdziwych naruszeń; ta pętla daje szczelniejsze polityki niż zgadywanie z góry. Wszystko działa lokalnie w twojej przeglądarce: architektura, wybory CDN i endpointy API nigdy nie opuszczają twojego urządzenia.

Częste pytania

Dlaczego 'self' musi być w cudzysłowach?
Bo CSP odróżnia słowa kluczowe od nazw hostów właśnie cudzysłowami. 'self' w cudzysłowach znaczy „własny origin tej strony"; self bez nich znaczy serwer dosłownie nazwany self. Generator automatycznie cytuje znane słowa kluczowe.
Co się dzieje, gdy zostawię dyrektywę pustą?
Zostaje pominięta w polityce, a przeglądarka dla tego typu zasobu wraca do default-src. Dokładnie tak pisze się CSP — nadpisuj tylko tam, gdzie reguły naprawdę się różnią.
Meta tag czy nagłówek?
Nagłówek, zawsze gdy kontrolujesz serwer — obejmuje każdą odpowiedź i wspiera wszystkie dyrektywy. Meta tag to wyjście awaryjne dla statycznego hostingu bez kontroli nagłówków; pamiętaj, że frame-ancestors i report-uri są w meta CSP ignorowane.
Jak ustalić, jakich źródeł potrzebuje moja strona?
Wdróż surową politykę (default-src 'self'), otwórz konsolę devtools i używaj strony. Każdy zablokowany zasób loguje naruszenie z dyrektywą i adresem URL — dodawaj te źródła świadomie, jedno po drugim. Do prób bez psucia czegokolwiek rozważ Content-Security-Policy-Report-Only.
Czy cokolwiek z tego, co wpisuję, jest gdzieś wysyłane?
Nie. Polityka składa się wyłącznie w twojej przeglądarce — twoje domeny i endpointy nigdy nie opuszczają twojego urządzenia.