Content-Security-Policy हेडर जेनरेटर
एक Content-Security-Policy हेडर निर्देश-दर-निर्देश बनाएँ, सोर्स चिप और कॉपी-तैयार meta, nginx, तथा Apache स्निपेट के साथ। सब कुछ आपके ब्राउज़र में चलता है।
CSP जेनरेटर पूरी तरह आपके ब्राउज़र में चलता है। आपका Content-Security-Policy बनाने के लिए आपके द्वारा दर्ज किए गए निर्देश, होस्ट, और स्कीम कभी आपके डिवाइस से बाहर नहीं जाते और ArrayKit पर अपलोड नहीं होते।
Cache-Control हेडर जेनरेटर खोलें
CSP जेनरेटर के बारे में
CSP जेनरेटर एक Content-Security-Policy हेडर एक बार में एक निर्देश बनाता है। default-src, script-src, style-src, img-src, connect-src, font-src, frame-src, और अधिक भरें, 'self', 'none', 'unsafe-inline', data:, और https: जैसी सोर्स चिप पर क्लिक करके, या cdn.example.com जैसे कस्टम होस्ट टाइप करके। कीवर्ड सोर्स आपके लिए सिंगल-कोटेड होते हैं जबकि होस्ट और स्कीम नंगे रहते हैं, इसलिए नीति हमेशा मान्य रहती है। खाली निर्देश स्वतः गिरा दिए जाते हैं और सब कुछ विहित क्रम में उत्सर्जित होता है। इसे लागू करने से पहले मॉनिटर मोड में एक नीति का परीक्षण करने के लिए report-only टॉगल पलटें, फिर कच्चा हेडर, एक HTML meta टैग, या पेस्ट-के-लिए-तैयार nginx और Apache स्निपेट कॉपी करें। XSS और clickjacking के विरुद्ध एक साइट को मज़बूत बनाने वाले डेवलपर्स के लिए बनाया गया, सीधे ब्राउज़र में — आपकी बनाई नीति कभी आपके डिवाइस से बाहर नहीं जाती।
विशेषताएँ
- default-src, script-src, style-src, img-src, connect-src, font-src, frame-src, और अधिक के लिए प्रति-निर्देश संपादक
- एक-क्लिक सोर्स चिप: 'self', 'none', 'unsafe-inline', 'unsafe-eval', data:, https:, blob:, और *
- कस्टम होस्ट और स्कीम जोड़ें; कीवर्ड सिंगल-कोटेड होते हैं जबकि होस्ट नंगे रहते हैं
- Report-only टॉगल बिना ब्लॉक किए परीक्षण के लिए Content-Security-Policy-Report-Only उत्सर्जित करता है
- निर्देश विहित रूप से क्रमबद्ध होते हैं और खाली निर्देश स्वतः गिरा दिए जाते हैं
- कच्चा हेडर, एक HTML meta http-equiv टैग, या nginx और Apache add_header स्निपेट कॉपी करें
- एक निर्देश के अंदर डुप्लिकेट सोर्स आपके बनाते ही हटा दिए जाते हैं
- पूरी तरह आपके ब्राउज़र में चलता है — आपकी बनाई नीति कभी अपलोड नहीं होती
CSP जेनरेटर का उपयोग कैसे करें
- सोर्स चिप पर क्लिक करें या एक होस्ट टाइप करें ताकि आपको आवश्यक हर निर्देश में सोर्स जोड़ें
- जो निर्देश आप नहीं चाहते उन्हें खाली छोड़ें — वे आउटपुट से गिरा दिए जाते हैं
- यदि आप लागू करने से पहले उल्लंघनों की निगरानी करना चाहते हैं तो Report-Only टॉगल करें
- Content-Security-Policy हेडर मान या meta, nginx, या Apache स्निपेट कॉपी करें
उदाहरण
इनपुट
default-src: 'self'
script-src: 'self' https:
img-src: 'self' data:
object-src: 'none'
आउटपुट
Content-Security-Policy: default-src 'self'; script-src 'self' https:; img-src 'self' data:; object-src 'none'
'self' जैसे कीवर्ड कोटेड होते हैं; https: और data: जैसी स्कीम नंगी रहती हैं।
सामान्य त्रुटियाँ और समस्या निवारण
- नीति जोड़ने के बाद ब्राउज़र 'Refused to load' त्रुटियाँ बताता है। — उस संसाधन प्रकार के लिए एक सोर्स गायब है। होस्ट या स्कीम को मिलते-जुलते निर्देश में (या फ़ॉलबैक के रूप में default-src में) जोड़ें और हेडर फिर से बनाएँ।
- नीति लाइव होने पर इनलाइन स्क्रिप्ट या स्टाइल काम करना बंद कर देते हैं। — CSP इनलाइन कोड ब्लॉक करता है जब तक आप इसे अनुमति न दें। script-src या style-src में 'unsafe-inline' जोड़ें, या बेहतर, एक nonce या hash सोर्स टोकन पर जाएँ।
- रिस्पॉन्स हेडर काम करते हुए meta टैग संस्करण अनदेखा किया जाता है। — frame-ancestors, report-uri, और sandbox जैसे कुछ निर्देश केवल एक असली HTTP हेडर के रूप में काम करते हैं, एक <meta> टैग में नहीं। उनके लिए हेडर स्निपेट को प्राथमिकता दें।
- Report-Only मोड सिर्फ़ लॉग करने के बजाय अनुरोध ब्लॉक कर रहा है। — हेडर नाम जाँचें। प्रवर्तन Content-Security-Policy का उपयोग करता है; निगरानी Content-Security-Policy-Report-Only का उपयोग करती है। टॉगल आपके लिए नाम बदल देता है।
अक्सर पूछे जाने वाले प्रश्न
- यह CSP जेनरेटर क्या बनाता है?
- यह आपके चुने हुए निर्देशों और सोर्स से एक पूर्ण Content-Security-Policy हेडर मान बनाता है, फिर आपको कच्चा हेडर, एक HTML meta टैग, और nginx तथा Apache add_header स्निपेट देता है जिन्हें आप अपनी कॉन्फ़िग में पेस्ट कर सकते हैं।
- कौन से CSP सोर्स को सिंगल कोट्स मिलते हैं और किनको नहीं?
- 'self', 'none', 'unsafe-inline', 'unsafe-eval', और 'strict-dynamic' जैसे कीवर्ड सोर्स, साथ ही nonce और hash, सिंगल-कोटेड होते हैं। https:, data:, और cdn.example.com जैसे होस्ट और स्कीम नंगे छोड़ दिए जाते हैं। टूल आपके लिए उन्हें सही ढंग से कोट करता है।
- report-only टॉगल किसके लिए है?
- यह हेडर नाम को Content-Security-Policy-Report-Only पर स्विच करता है, जो कुछ भी ब्लॉक किए बिना उल्लंघनों की रिपोर्ट करता है। इसका उपयोग एक लाइव साइट पर एक नई नीति स्टेज करने और लागू करने से पहले कंसोल देखने के लिए करें।
- क्या मैं पूरी नीति एक CSP meta टैग के रूप में दे सकता हूँ?
- अधिकतर, हाँ — टूल लागू करने वाली नीति के लिए एक <meta http-equiv> टैग उत्सर्जित करता है। लेकिन frame-ancestors, report-uri, report-to, और sandbox एक meta टैग में अनदेखे किए जाते हैं, इसलिए जब आपकी नीति उन पर निर्भर हो तो HTTP हेडर स्निपेट का उपयोग करें।
- हेडर उन निर्देशों को क्यों छोड़ देता है जिन्हें मैंने नहीं भरा?
- बिना सोर्स वाले निर्देश गिरा दिए जाते हैं ताकि आउटपुट साफ़ और मान्य रहे। default-src किसी भी fetch निर्देश के लिए फ़ॉलबैक के रूप में कार्य करता है जिसे आप खाली छोड़ते हैं, इसलिए आपको केवल उन्हीं को ओवरराइड करना है जो भिन्न हैं।
- क्या CSP हेडर बनाने से मेरे होस्ट कहीं भेजे जाते हैं?
- नहीं। CSP जेनरेटर पूरी तरह आपके ब्राउज़र में चलता है। आपके द्वारा दर्ज किए गए निर्देश और होस्ट आपके डिवाइस पर रहते हैं और कभी ArrayKit पर अपलोड नहीं होते।
संबंधित टूल
सभी ArrayKit टूल