Content-Security-Policy-Header-Generator

Baue einen Content-Security-Policy-Header Direktive für Direktive, mit Quellen-Chips und kopierfertigen meta-, nginx- und Apache-Snippets. Alles läuft in deinem Browser.

Der CSP-Generator läuft vollständig in deinem Browser. Die Direktiven, Hosts und Schemata, die du zum Bauen deiner Content-Security-Policy eingibst, verlassen dein Gerät nie und werden nicht zu ArrayKit hochgeladen.

Cache-Control-Header-Generator öffnen

Über CSP-Generator

Der CSP-Generator baut einen Content-Security-Policy-Header eine Direktive nach der anderen. Fülle default-src, script-src, style-src, img-src, connect-src, font-src, frame-src und mehr, indem du auf Quellen-Chips wie 'self', 'none', 'unsafe-inline', data: und https: klickst, oder indem du eigene Hosts wie cdn.example.com tippst. Keyword-Quellen werden für dich einfach-quotiert, während Hosts und Schemata nackt bleiben, sodass die Policy immer gültig ist. Leere Direktiven werden automatisch weggelassen und alles wird in kanonischer Reihenfolge ausgegeben. Kippe den Report-Only-Schalter, um eine Policy im Monitor-Modus zu testen, bevor du sie erzwingst, und kopiere dann den rohen Header, einen HTML-meta-Tag oder einfügefertige nginx- und Apache-Snippets. Gebaut für Entwickelnde, die eine Site gegen XSS und Clickjacking härten, direkt im Browser — die Policy, die du baust, verlässt dein Gerät nie.

Funktionen

So verwendest du CSP-Generator

  1. Klicke auf Quellen-Chips oder tippe einen Host, um Quellen zu jeder benötigten Direktive hinzuzufügen
  2. Lass Direktiven, die du nicht willst, leer — sie werden aus der Ausgabe weggelassen
  3. Schalte Report-Only, wenn du Verstöße überwachen möchtest, bevor du erzwingst
  4. Kopiere den Content-Security-Policy-Header-Wert oder das meta-, nginx- oder Apache-Snippet

Beispiel

Eingabe

default-src: 'self'
script-src: 'self' https:
img-src: 'self' data:
object-src: 'none'

Ausgabe

Content-Security-Policy: default-src 'self'; script-src 'self' https:; img-src 'self' data:; object-src 'none'

Keywords wie 'self' werden quotiert; Schemata wie https: und data: bleiben nackt.

Häufige Fehler & Fehlerbehebung

Häufig gestellte Fragen

Was erzeugt dieser CSP-Generator?
Er baut einen vollständigen Content-Security-Policy-Header-Wert aus den Direktiven und Quellen, die du wählst, und gibt dir dann den rohen Header, einen HTML-meta-Tag und nginx- und Apache-add_header-Snippets, die du in deine Konfiguration einfügen kannst.
Welche CSP-Quellen bekommen einfache Anführungszeichen und welche nicht?
Keyword-Quellen wie 'self', 'none', 'unsafe-inline', 'unsafe-eval' und 'strict-dynamic', plus Nonces und Hashes, werden einfach-quotiert. Hosts und Schemata wie https:, data: und cdn.example.com bleiben nackt. Das Tool quotiert sie korrekt für dich.
Wofür ist der Report-Only-Schalter?
Er wechselt den Header-Namen zu Content-Security-Policy-Report-Only, der Verstöße meldet, ohne etwas zu blockieren. Nutze ihn, um eine neue Policy auf einer Live-Site zu erproben und die Konsole zu beobachten, bevor du sie erzwingst.
Kann ich die ganze Policy als CSP-meta-Tag ausliefern?
Meist ja — das Tool gibt einen <meta http-equiv>-Tag für die erzwingende Policy aus. Aber frame-ancestors, report-uri, report-to und sandbox werden in einem meta-Tag ignoriert, also nutze das HTTP-Header-Snippet, wenn deine Policy auf sie angewiesen ist.
Warum lässt der Header Direktiven weg, die ich nicht ausgefüllt habe?
Direktiven ohne Quellen werden weggelassen, sodass die Ausgabe sauber und gültig bleibt. default-src fungiert als Fallback für jede fetch-Direktive, die du leer lässt, sodass du nur die überschreiben musst, die abweichen.
Sendet das Bauen des CSP-Headers meine Hosts irgendwohin?
Nein. Der CSP-Generator läuft vollständig in deinem Browser. Die Direktiven und Hosts, die du eingibst, bleiben auf deinem Gerät und werden niemals zu ArrayKit hochgeladen.

Verwandte Tools

Alle ArrayKit-Tools