Content-Security-Policy-Header-Generator
Baue einen Content-Security-Policy-Header Direktive für Direktive, mit Quellen-Chips und kopierfertigen meta-, nginx- und Apache-Snippets. Alles läuft in deinem Browser.
Der CSP-Generator läuft vollständig in deinem Browser. Die Direktiven, Hosts und Schemata, die du zum Bauen deiner Content-Security-Policy eingibst, verlassen dein Gerät nie und werden nicht zu ArrayKit hochgeladen.
Cache-Control-Header-Generator öffnen
Über CSP-Generator
Der CSP-Generator baut einen Content-Security-Policy-Header eine Direktive nach der anderen. Fülle default-src, script-src, style-src, img-src, connect-src, font-src, frame-src und mehr, indem du auf Quellen-Chips wie 'self', 'none', 'unsafe-inline', data: und https: klickst, oder indem du eigene Hosts wie cdn.example.com tippst. Keyword-Quellen werden für dich einfach-quotiert, während Hosts und Schemata nackt bleiben, sodass die Policy immer gültig ist. Leere Direktiven werden automatisch weggelassen und alles wird in kanonischer Reihenfolge ausgegeben. Kippe den Report-Only-Schalter, um eine Policy im Monitor-Modus zu testen, bevor du sie erzwingst, und kopiere dann den rohen Header, einen HTML-meta-Tag oder einfügefertige nginx- und Apache-Snippets. Gebaut für Entwickelnde, die eine Site gegen XSS und Clickjacking härten, direkt im Browser — die Policy, die du baust, verlässt dein Gerät nie.
Funktionen
- Pro-Direktive-Editor für default-src, script-src, style-src, img-src, connect-src, font-src, frame-src und mehr
- Quellen-Chips mit einem Klick: 'self', 'none', 'unsafe-inline', 'unsafe-eval', data:, https:, blob: und *
- Füge eigene Hosts und Schemata hinzu; Keywords werden einfach-quotiert, während Hosts nackt bleiben
- Report-Only-Schalter gibt Content-Security-Policy-Report-Only aus, um ohne Blockieren zu testen
- Direktiven werden kanonisch geordnet und leere Direktiven automatisch weggelassen
- Kopiere den rohen Header, einen HTML-meta http-equiv-Tag oder nginx- und Apache-add_header-Snippets
- Doppelte Quellen innerhalb einer Direktive werden beim Bauen entfernt
- Läuft vollständig in deinem Browser — die Policy, die du baust, wird nie hochgeladen
So verwendest du CSP-Generator
- Klicke auf Quellen-Chips oder tippe einen Host, um Quellen zu jeder benötigten Direktive hinzuzufügen
- Lass Direktiven, die du nicht willst, leer — sie werden aus der Ausgabe weggelassen
- Schalte Report-Only, wenn du Verstöße überwachen möchtest, bevor du erzwingst
- Kopiere den Content-Security-Policy-Header-Wert oder das meta-, nginx- oder Apache-Snippet
Beispiel
Eingabe
default-src: 'self'
script-src: 'self' https:
img-src: 'self' data:
object-src: 'none'
Ausgabe
Content-Security-Policy: default-src 'self'; script-src 'self' https:; img-src 'self' data:; object-src 'none'
Keywords wie 'self' werden quotiert; Schemata wie https: und data: bleiben nackt.
Häufige Fehler & Fehlerbehebung
- Der Browser meldet 'Refused to load'-Fehler, nachdem die Policy hinzugefügt wurde. — Für diesen Ressourcentyp fehlt eine Quelle. Füge den Host oder das Schema zur passenden Direktive hinzu (oder zu default-src als Fallback) und baue den Header neu.
- Inline-Skripte oder -Styles hören auf zu funktionieren, sobald die Policy live ist. — CSP blockiert Inline-Code, sofern du ihn nicht erlaubst. Füge 'unsafe-inline' zu script-src oder style-src hinzu, oder besser, wechsle zu einem Nonce- oder Hash-Quellen-Token.
- Die meta-Tag-Version wird ignoriert, während der Response-Header funktioniert. — Manche Direktiven wie frame-ancestors, report-uri und sandbox funktionieren nur als echter HTTP-Header, nicht in einem <meta>-Tag. Bevorzuge für diese das Header-Snippet.
- Der Report-Only-Modus blockiert Anfragen, statt sie nur zu protokollieren. — Prüfe den Header-Namen. Die Erzwingung nutzt Content-Security-Policy; die Überwachung nutzt Content-Security-Policy-Report-Only. Der Schalter wechselt den Namen für dich.
Häufig gestellte Fragen
- Was erzeugt dieser CSP-Generator?
- Er baut einen vollständigen Content-Security-Policy-Header-Wert aus den Direktiven und Quellen, die du wählst, und gibt dir dann den rohen Header, einen HTML-meta-Tag und nginx- und Apache-add_header-Snippets, die du in deine Konfiguration einfügen kannst.
- Welche CSP-Quellen bekommen einfache Anführungszeichen und welche nicht?
- Keyword-Quellen wie 'self', 'none', 'unsafe-inline', 'unsafe-eval' und 'strict-dynamic', plus Nonces und Hashes, werden einfach-quotiert. Hosts und Schemata wie https:, data: und cdn.example.com bleiben nackt. Das Tool quotiert sie korrekt für dich.
- Wofür ist der Report-Only-Schalter?
- Er wechselt den Header-Namen zu Content-Security-Policy-Report-Only, der Verstöße meldet, ohne etwas zu blockieren. Nutze ihn, um eine neue Policy auf einer Live-Site zu erproben und die Konsole zu beobachten, bevor du sie erzwingst.
- Kann ich die ganze Policy als CSP-meta-Tag ausliefern?
- Meist ja — das Tool gibt einen <meta http-equiv>-Tag für die erzwingende Policy aus. Aber frame-ancestors, report-uri, report-to und sandbox werden in einem meta-Tag ignoriert, also nutze das HTTP-Header-Snippet, wenn deine Policy auf sie angewiesen ist.
- Warum lässt der Header Direktiven weg, die ich nicht ausgefüllt habe?
- Direktiven ohne Quellen werden weggelassen, sodass die Ausgabe sauber und gültig bleibt. default-src fungiert als Fallback für jede fetch-Direktive, die du leer lässt, sodass du nur die überschreiben musst, die abweichen.
- Sendet das Bauen des CSP-Headers meine Hosts irgendwohin?
- Nein. Der CSP-Generator läuft vollständig in deinem Browser. Die Direktiven und Hosts, die du eingibst, bleiben auf deinem Gerät und werden niemals zu ArrayKit hochgeladen.
Verwandte Tools
Alle ArrayKit-Tools