Générateur d'en-tête Content-Security-Policy
Construisez un en-tête Content-Security-Policy directive par directive, avec des puces de sources et des extraits meta, nginx et Apache prêts à copier. Tout s'exécute dans votre navigateur.
Le générateur CSP s'exécute entièrement dans votre navigateur. Les directives, hôtes et schémas que vous saisissez pour construire votre Content-Security-Policy ne quittent jamais votre appareil et ne sont pas téléversés vers ArrayKit.
Ouvrir le générateur d'en-tête Cache-Control
À propos de Générateur CSP
Le générateur CSP construit un en-tête Content-Security-Policy une directive à la fois. Renseignez default-src, script-src, style-src, img-src, connect-src, font-src, frame-src et plus encore en cliquant sur des puces de sources comme 'self', 'none', 'unsafe-inline', data: et https:, ou en tapant des hôtes personnalisés comme cdn.example.com. Les sources par mot-clé sont mises entre apostrophes simples pour vous tandis que les hôtes et schémas restent nus, si bien que la politique est toujours valide. Les directives vides sont supprimées automatiquement et tout est émis dans l'ordre canonique. Actionnez la bascule report-only pour tester une politique en mode surveillance avant de l'appliquer, puis copiez l'en-tête brut, une balise meta HTML, ou des extraits nginx et Apache prêts à coller. Conçu pour les développeurs qui renforcent un site contre le XSS et le détournement de clic, directement dans le navigateur — la politique que vous construisez ne quitte jamais votre appareil.
Fonctionnalités
- Éditeur par directive pour default-src, script-src, style-src, img-src, connect-src, font-src, frame-src et plus
- Puces de sources en un clic : 'self', 'none', 'unsafe-inline', 'unsafe-eval', data:, https:, blob: et *
- Ajoutez des hôtes et schémas personnalisés ; les mots-clés sont mis entre apostrophes tandis que les hôtes restent nus
- La bascule report-only émet Content-Security-Policy-Report-Only pour tester sans bloquer
- Les directives sont ordonnées canoniquement et les directives vides sont supprimées automatiquement
- Copiez l'en-tête brut, une balise meta http-equiv HTML, ou des extraits add_header nginx et Apache
- Les sources en double dans une directive sont retirées à mesure que vous construisez
- S'exécute entièrement dans votre navigateur — la politique que vous construisez n'est jamais téléversée
Comment utiliser Générateur CSP
- Cliquez sur des puces de sources ou tapez un hôte pour ajouter des sources à chaque directive dont vous avez besoin
- Laissez vides les directives que vous ne voulez pas — elles sont supprimées de la sortie
- Actionnez Report-Only si vous voulez surveiller les violations avant d'appliquer
- Copiez la valeur de l'en-tête Content-Security-Policy ou l'extrait meta, nginx ou Apache
Exemple
Entrée
default-src: 'self'
script-src: 'self' https:
img-src: 'self' data:
object-src: 'none'
Sortie
Content-Security-Policy: default-src 'self'; script-src 'self' https:; img-src 'self' data:; object-src 'none'
Les mots-clés comme 'self' sont mis entre apostrophes ; les schémas comme https: et data: restent nus.
Erreurs courantes et dépannage
- Le navigateur signale des erreurs « Refused to load » après l'ajout de la politique. — Une source manque pour ce type de ressource. Ajoutez l'hôte ou le schéma à la directive correspondante (ou à default-src comme repli) et reconstruisez l'en-tête.
- Les scripts ou styles en ligne cessent de fonctionner une fois la politique active. — La CSP bloque le code en ligne sauf autorisation. Ajoutez 'unsafe-inline' à script-src ou style-src, ou mieux, passez à un jeton de source nonce ou hash.
- La version en balise meta est ignorée alors que l'en-tête de réponse fonctionne. — Certaines directives comme frame-ancestors, report-uri et sandbox ne fonctionnent que comme véritable en-tête HTTP, pas dans une balise <meta>. Préférez l'extrait d'en-tête pour celles-là.
- Le mode Report-Only bloque les requêtes au lieu de simplement les journaliser. — Vérifiez le nom de l'en-tête. L'application utilise Content-Security-Policy ; la surveillance utilise Content-Security-Policy-Report-Only. La bascule change le nom pour vous.
Foire aux questions
- Que produit ce générateur CSP ?
- Il construit une valeur d'en-tête Content-Security-Policy complète à partir des directives et sources que vous choisissez, puis vous donne l'en-tête brut, une balise meta HTML, et des extraits add_header nginx et Apache que vous pouvez coller dans votre configuration.
- Quelles sources CSP reçoivent des apostrophes simples et lesquelles non ?
- Les sources par mot-clé comme 'self', 'none', 'unsafe-inline', 'unsafe-eval' et 'strict-dynamic', ainsi que les nonces et les hachages, sont mises entre apostrophes simples. Les hôtes et schémas comme https:, data: et cdn.example.com restent nus. L'outil les met entre apostrophes correctement pour vous.
- À quoi sert la bascule report-only ?
- Elle change le nom de l'en-tête en Content-Security-Policy-Report-Only, qui signale les violations sans rien bloquer. Utilisez-la pour mettre en place une nouvelle politique sur un site en production et observer la console avant de l'appliquer.
- Puis-je livrer toute la politique sous forme de balise meta CSP ?
- En grande partie, oui — l'outil émet une balise <meta http-equiv> pour la politique appliquée. Mais frame-ancestors, report-uri, report-to et sandbox sont ignorés dans une balise meta, alors utilisez l'extrait d'en-tête HTTP quand votre politique en dépend.
- Pourquoi l'en-tête laisse-t-il de côté les directives que je n'ai pas renseignées ?
- Les directives sans sources sont supprimées pour que la sortie reste propre et valide. default-src sert de repli pour toute directive de récupération que vous laissez vide, si bien que vous n'avez à surcharger que celles qui diffèrent.
- Construire l'en-tête CSP envoie-t-il mes hôtes quelque part ?
- Non. Le générateur CSP s'exécute entièrement dans votre navigateur. Les directives et hôtes que vous saisissez restent sur votre appareil et ne sont jamais téléversés vers ArrayKit.
Outils associés
Tous les outils ArrayKit