Preskočiť na obsah
TextArray
100% lokálne

Generátor CSP hlavičky

Zostavte Content-Security-Policy hlavičku z polí po direktívach, pripravenú na nasadenie.

Výstup

Generátor CSP hlavičky

Hlavička Content-Security-Policy je najsilnejšia jednotlivá obrana proti XSS, akú web môže nasadiť — a zároveň jedna z hlavičiek, ktoré sa najľahšie pokazia nenápadne. Vyplňte direktívy, ktoré potrebujete, zvyšok nechajte prázdny a politika sa zostaví sama: default-src ako základ, pričom script-src, style-src, img-src, connect-src, font-src a frame-ancestors ho prepíšu tam, kde poviete. Prázdne polia sa úplne vynechajú, čo je korektné CSP: chýbajúca direktíva padá späť na default-src namiesto náhodného povolenia všetkého.

Generátor za vás opraví klasickú chybu: kľúčové slová CSP musia byť v úvodzovkách a neuvodzované self neznamená „tento origin" — znamená hosta doslova pomenovaného self. Napíšte self, none či unsafe-inline holé a vyjdú správne uvodzované; hostitelia a schémy ako https://cdn.example.com či data: ostanú, ako sú.

Formát výstupu zodpovedá tomu, kde bude politika žiť: surový riadok hlavičky na čítanie a vloženie, HTML meta tag pre statické weby bez prístupu k serveru, alebo presné riadky add_header a Header set pre konfigurácie nginx a Apache. Prepínač upgrade-insecure-requests pripojí direktívu, ktorá transparentne prepíše zatúlané http:// zdroje na https.

Začnite prísne — samotné default-src 'self' — nasaďte, otvorte konzolu prehliadača a pridávajte zdroje, ako sa objavujú skutočné porušenia; táto slučka vyrobí tesnejšie politiky než hádanie vopred. Všetko beží lokálne vo vašom prehliadači: vaša architektúra, CDN voľby ani API endpointy neopustia vaše zariadenie.

Časté otázky

Prečo musí byť 'self' v úvodzovkách?
Lebo CSP rozlišuje kľúčové slová od hostiteľov práve úvodzovkami. 'self' s úvodzovkami znamená „vlastný origin tejto stránky"; self bez nich znamená server doslova pomenovaný self. Generátor známe kľúčové slová uvodzuje automaticky.
Čo sa stane, keď direktívu nechám prázdnu?
Vynechá sa z politiky a prehliadač pre daný typ zdroja padne späť na default-src. Presne tak sa CSP má písať — prepíšte len tam, kde sa pravidlá naozaj líšia.
Mám použiť meta tag alebo hlavičku?
Hlavičku vždy, keď máte kontrolu nad serverom — pokrýva každú odpoveď a podporuje všetky direktívy. Meta tag je záloha pre statický hosting bez kontroly hlavičiek, no pozor: frame-ancestors a report-uri sa v meta CSP ignorujú.
Ako zistím, ktoré zdroje môj web potrebuje?
Nasaďte prísnu politiku (default-src 'self'), otvorte konzolu devtools a web používajte. Každý zablokovaný zdroj zaloguje porušenie s direktívou a URL — tie zdroje pridávajte vedome, jeden po druhom. Na skúšanie bez rozbitia čohokoľvek zvážte Content-Security-Policy-Report-Only.
Nahráva sa niečo z toho, čo napíšem, niekam?
Nie. Politika sa zostavuje výhradne vo vašom prehliadači — vaše domény a endpointy nikdy neopustia vaše zariadenie.