Generátor CSP hlavičky
Zostavte Content-Security-Policy hlavičku z polí po direktívach, pripravenú na nasadenie.
Súvisiace nástroje
Generátor CSP hlavičky
Hlavička Content-Security-Policy je najsilnejšia jednotlivá obrana proti XSS, akú web môže nasadiť — a zároveň jedna z hlavičiek, ktoré sa najľahšie pokazia nenápadne. Vyplňte direktívy, ktoré potrebujete, zvyšok nechajte prázdny a politika sa zostaví sama: default-src ako základ, pričom script-src, style-src, img-src, connect-src, font-src a frame-ancestors ho prepíšu tam, kde poviete. Prázdne polia sa úplne vynechajú, čo je korektné CSP: chýbajúca direktíva padá späť na default-src namiesto náhodného povolenia všetkého.
Generátor za vás opraví klasickú chybu: kľúčové slová CSP musia byť v úvodzovkách a neuvodzované self neznamená „tento origin" — znamená hosta doslova pomenovaného self. Napíšte self, none či unsafe-inline holé a vyjdú správne uvodzované; hostitelia a schémy ako https://cdn.example.com či data: ostanú, ako sú.
Formát výstupu zodpovedá tomu, kde bude politika žiť: surový riadok hlavičky na čítanie a vloženie, HTML meta tag pre statické weby bez prístupu k serveru, alebo presné riadky add_header a Header set pre konfigurácie nginx a Apache. Prepínač upgrade-insecure-requests pripojí direktívu, ktorá transparentne prepíše zatúlané http:// zdroje na https.
Začnite prísne — samotné default-src 'self' — nasaďte, otvorte konzolu prehliadača a pridávajte zdroje, ako sa objavujú skutočné porušenia; táto slučka vyrobí tesnejšie politiky než hádanie vopred. Všetko beží lokálne vo vašom prehliadači: vaša architektúra, CDN voľby ani API endpointy neopustia vaše zariadenie.