Generador de cabecera Content-Security-Policy

Construye una cabecera Content-Security-Policy directiva por directiva, con chips de fuente y fragmentos listos para copiar de meta, nginx y Apache. Todo funciona en tu navegador.

El Generador de CSP funciona por completo en tu navegador. Las directivas, hosts y esquemas que introduces para construir tu Content-Security-Policy nunca salen de tu dispositivo y no se suben a ArrayKit.

Abre el Generador de cabecera Cache-Control

Acerca de Generador de CSP

El Generador de CSP construye una cabecera Content-Security-Policy directiva a directiva. Rellena default-src, script-src, style-src, img-src, connect-src, font-src, frame-src y más haciendo clic en chips de fuente como 'self', 'none', 'unsafe-inline', data: y https:, o escribiendo hosts personalizados como cdn.example.com. Las fuentes de palabra clave se entrecomillan con simples por ti mientras que los hosts y esquemas se quedan desnudos, así que la política siempre es válida. Las directivas vacías se descartan automáticamente y todo se emite en orden canónico. Activa el interruptor report-only para probar una política en modo monitor antes de aplicarla, luego copia la cabecera en bruto, una meta etiqueta HTML, o fragmentos de nginx y Apache listos para pegar. Está pensado para desarrolladores que refuerzan un sitio contra XSS y clickjacking, directamente en el navegador: la política que construyes nunca sale de tu dispositivo.

Características

Cómo usar Generador de CSP

  1. Haz clic en los chips de fuente o escribe un host para añadir fuentes a cada directiva que necesites
  2. Deja vacías las directivas que no quieres: se descartan de la salida
  3. Activa Report-Only si quieres monitorizar las violaciones antes de aplicar
  4. Copia el valor de la cabecera Content-Security-Policy o el fragmento de meta, nginx o Apache

Ejemplo

Entrada

default-src: 'self'
script-src: 'self' https:
img-src: 'self' data:
object-src: 'none'

Salida

Content-Security-Policy: default-src 'self'; script-src 'self' https:; img-src 'self' data:; object-src 'none'

Las palabras clave como 'self' se entrecomillan; los esquemas como https: y data: se quedan desnudos.

Errores comunes y solución de problemas

Preguntas frecuentes

¿Qué produce este generador de CSP?
Construye un valor completo de cabecera Content-Security-Policy a partir de las directivas y fuentes que elijas, y luego te da la cabecera en bruto, una meta etiqueta HTML, y fragmentos add_header de nginx y Apache que puedes pegar en tu configuración.
¿Qué fuentes de CSP llevan comillas simples y cuáles no?
Las fuentes de palabra clave como 'self', 'none', 'unsafe-inline', 'unsafe-eval' y 'strict-dynamic', más los nonces y hashes, se entrecomillan con simples. Los hosts y esquemas como https:, data: y cdn.example.com se quedan desnudos. La herramienta los entrecomilla correctamente por ti.
¿Para qué sirve el interruptor report-only?
Cambia el nombre de la cabecera a Content-Security-Policy-Report-Only, que informa las violaciones sin bloquear nada. Úsalo para desplegar una política nueva en un sitio en vivo y observar la consola antes de aplicarla.
¿Puedo entregar toda la política como una meta etiqueta CSP?
Sobre todo sí: la herramienta emite una etiqueta <meta http-equiv> para la política que se aplica. Pero frame-ancestors, report-uri, report-to y sandbox se ignoran en una meta etiqueta, así que usa el fragmento de cabecera HTTP cuando tu política dependa de ellas.
¿Por qué la cabecera omite las directivas que no rellené?
Las directivas sin fuentes se descartan para que la salida quede limpia y válida. default-src actúa como respaldo para cualquier directiva de obtención que dejes vacía, así que solo necesitas anular las que difieran.
¿Construir la cabecera CSP envía mis hosts a algún sitio?
No. El Generador de CSP funciona por completo en tu navegador. Las directivas y hosts que introduces permanecen en tu dispositivo y nunca se suben a ArrayKit.

Herramientas relacionadas

Todas las herramientas de ArrayKit