Generador de cabecera Content-Security-Policy
Construye una cabecera Content-Security-Policy directiva por directiva, con chips de fuente y fragmentos listos para copiar de meta, nginx y Apache. Todo funciona en tu navegador.
El Generador de CSP funciona por completo en tu navegador. Las directivas, hosts y esquemas que introduces para construir tu Content-Security-Policy nunca salen de tu dispositivo y no se suben a ArrayKit.
Abre el Generador de cabecera Cache-Control
Acerca de Generador de CSP
El Generador de CSP construye una cabecera Content-Security-Policy directiva a directiva. Rellena default-src, script-src, style-src, img-src, connect-src, font-src, frame-src y más haciendo clic en chips de fuente como 'self', 'none', 'unsafe-inline', data: y https:, o escribiendo hosts personalizados como cdn.example.com. Las fuentes de palabra clave se entrecomillan con simples por ti mientras que los hosts y esquemas se quedan desnudos, así que la política siempre es válida. Las directivas vacías se descartan automáticamente y todo se emite en orden canónico. Activa el interruptor report-only para probar una política en modo monitor antes de aplicarla, luego copia la cabecera en bruto, una meta etiqueta HTML, o fragmentos de nginx y Apache listos para pegar. Está pensado para desarrolladores que refuerzan un sitio contra XSS y clickjacking, directamente en el navegador: la política que construyes nunca sale de tu dispositivo.
Características
- Editor por directiva para default-src, script-src, style-src, img-src, connect-src, font-src, frame-src y más
- Chips de fuente de un clic: 'self', 'none', 'unsafe-inline', 'unsafe-eval', data:, https:, blob: y *
- Añade hosts y esquemas personalizados; las palabras clave se entrecomillan con simples mientras los hosts quedan desnudos
- El interruptor report-only emite Content-Security-Policy-Report-Only para probar sin bloquear
- Las directivas se ordenan canónicamente y las vacías se descartan automáticamente
- Copia la cabecera en bruto, una meta etiqueta HTML http-equiv, o fragmentos add_header de nginx y Apache
- Las fuentes duplicadas dentro de una directiva se eliminan mientras construyes
- Funciona por completo en tu navegador: la política que construyes nunca se sube
Cómo usar Generador de CSP
- Haz clic en los chips de fuente o escribe un host para añadir fuentes a cada directiva que necesites
- Deja vacías las directivas que no quieres: se descartan de la salida
- Activa Report-Only si quieres monitorizar las violaciones antes de aplicar
- Copia el valor de la cabecera Content-Security-Policy o el fragmento de meta, nginx o Apache
Ejemplo
Entrada
default-src: 'self'
script-src: 'self' https:
img-src: 'self' data:
object-src: 'none'
Salida
Content-Security-Policy: default-src 'self'; script-src 'self' https:; img-src 'self' data:; object-src 'none'
Las palabras clave como 'self' se entrecomillan; los esquemas como https: y data: se quedan desnudos.
Errores comunes y solución de problemas
- El navegador informa errores de 'Refused to load' tras añadir la política. — Falta una fuente para ese tipo de recurso. Añade el host o esquema a la directiva correspondiente (o a default-src como respaldo) y reconstruye la cabecera.
- Los scripts o estilos en línea dejan de funcionar una vez que la política está en vivo. — CSP bloquea el código en línea a menos que lo permitas. Añade 'unsafe-inline' a script-src o style-src, o mejor, pasa a un token de fuente con nonce o hash.
- La versión en meta etiqueta se ignora mientras la cabecera de respuesta funciona. — Algunas directivas como frame-ancestors, report-uri y sandbox solo funcionan como cabecera HTTP real, no en una <meta> etiqueta. Prefiere el fragmento de cabecera para esas.
- El modo Report-Only está bloqueando peticiones en lugar de solo registrarlas. — Comprueba el nombre de la cabecera. La aplicación usa Content-Security-Policy; la monitorización usa Content-Security-Policy-Report-Only. El interruptor cambia el nombre por ti.
Preguntas frecuentes
- ¿Qué produce este generador de CSP?
- Construye un valor completo de cabecera Content-Security-Policy a partir de las directivas y fuentes que elijas, y luego te da la cabecera en bruto, una meta etiqueta HTML, y fragmentos add_header de nginx y Apache que puedes pegar en tu configuración.
- ¿Qué fuentes de CSP llevan comillas simples y cuáles no?
- Las fuentes de palabra clave como 'self', 'none', 'unsafe-inline', 'unsafe-eval' y 'strict-dynamic', más los nonces y hashes, se entrecomillan con simples. Los hosts y esquemas como https:, data: y cdn.example.com se quedan desnudos. La herramienta los entrecomilla correctamente por ti.
- ¿Para qué sirve el interruptor report-only?
- Cambia el nombre de la cabecera a Content-Security-Policy-Report-Only, que informa las violaciones sin bloquear nada. Úsalo para desplegar una política nueva en un sitio en vivo y observar la consola antes de aplicarla.
- ¿Puedo entregar toda la política como una meta etiqueta CSP?
- Sobre todo sí: la herramienta emite una etiqueta <meta http-equiv> para la política que se aplica. Pero frame-ancestors, report-uri, report-to y sandbox se ignoran en una meta etiqueta, así que usa el fragmento de cabecera HTTP cuando tu política dependa de ellas.
- ¿Por qué la cabecera omite las directivas que no rellené?
- Las directivas sin fuentes se descartan para que la salida quede limpia y válida. default-src actúa como respaldo para cualquier directiva de obtención que dejes vacía, así que solo necesitas anular las que difieran.
- ¿Construir la cabecera CSP envía mis hosts a algún sitio?
- No. El Generador de CSP funciona por completo en tu navegador. Las directivas y hosts que introduces permanecen en tu dispositivo y nunca se suben a ArrayKit.
Herramientas relacionadas
Todas las herramientas de ArrayKit