Gerador de Cabeçalho Content-Security-Policy
Monte um cabeçalho Content-Security-Policy diretiva por diretiva, com chips de fonte e trechos prontos para copiar de meta, nginx e Apache. Tudo roda no seu navegador.
O Gerador de CSP roda inteiramente no seu navegador. As diretivas, hosts e esquemas que você insere para montar seu Content-Security-Policy nunca saem do seu dispositivo e não são enviados à ArrayKit.
Abrir o Gerador de Cabeçalho Cache-Control
Sobre Gerador de CSP
O Gerador de CSP monta um cabeçalho Content-Security-Policy uma diretiva de cada vez. Preencha default-src, script-src, style-src, img-src, connect-src, font-src, frame-src e mais clicando em chips de fonte como 'self', 'none', 'unsafe-inline', data: e https:, ou digitando hosts personalizados como cdn.example.com. As fontes de palavra-chave recebem aspas simples para você enquanto os hosts e esquemas ficam sem aspas, então a política é sempre válida. As diretivas vazias são descartadas automaticamente e tudo é emitido em ordem canônica. Vire o alternador report-only para testar uma política em modo de monitoramento antes de aplicá-la, depois copie o cabeçalho bruto, uma meta tag HTML, ou trechos de nginx e Apache prontos para colar. Feito para desenvolvedores fortalecendo um site contra XSS e clickjacking, direto no navegador — a política que você monta nunca sai do seu dispositivo.
Recursos
- Editor por diretiva para default-src, script-src, style-src, img-src, connect-src, font-src, frame-src e mais
- Chips de fonte em um clique: 'self', 'none', 'unsafe-inline', 'unsafe-eval', data:, https:, blob: e *
- Adicione hosts e esquemas personalizados; as palavras-chave recebem aspas simples enquanto os hosts ficam sem aspas
- O alternador report-only emite Content-Security-Policy-Report-Only para testar sem bloquear
- As diretivas são ordenadas canonicamente e as vazias são descartadas automaticamente
- Copie o cabeçalho bruto, uma meta tag HTML http-equiv, ou trechos add_header de nginx e Apache
- Fontes duplicadas dentro de uma diretiva são removidas conforme você monta
- Roda inteiramente no seu navegador — a política que você monta nunca é enviada a lugar nenhum
Como usar Gerador de CSP
- Clique nos chips de fonte ou digite um host para adicionar fontes a cada diretiva que você precisa
- Deixe vazias as diretivas que você não quer — elas são descartadas da saída
- Alterne Report-Only se quiser monitorar violações antes de aplicar
- Copie o valor do cabeçalho Content-Security-Policy ou o trecho de meta, nginx ou Apache
Exemplo
Entrada
default-src: 'self'
script-src: 'self' https:
img-src: 'self' data:
object-src: 'none'
Saída
Content-Security-Policy: default-src 'self'; script-src 'self' https:; img-src 'self' data:; object-src 'none'
Palavras-chave como 'self' recebem aspas; esquemas como https: e data: ficam sem aspas.
Erros comuns e solução de problemas
- O navegador informa erros de 'Refused to load' depois de adicionar a política. — Falta uma fonte para aquele tipo de recurso. Adicione o host ou esquema à diretiva correspondente (ou a default-src como fallback) e remonte o cabeçalho.
- Scripts ou estilos inline param de funcionar quando a política entra no ar. — A CSP bloqueia código inline a menos que você o permita. Adicione 'unsafe-inline' a script-src ou style-src, ou melhor, migre para um token de fonte nonce ou hash.
- A versão em meta tag é ignorada enquanto o cabeçalho de resposta funciona. — Algumas diretivas como frame-ancestors, report-uri e sandbox só funcionam como um cabeçalho HTTP real, não em uma <meta> tag. Prefira o trecho de cabeçalho para essas.
- O modo Report-Only está bloqueando requisições em vez de só registrá-las. — Verifique o nome do cabeçalho. A aplicação usa Content-Security-Policy; o monitoramento usa Content-Security-Policy-Report-Only. O alternador troca o nome para você.
Perguntas frequentes
- O que este gerador de CSP produz?
- Ele monta um valor completo de cabeçalho Content-Security-Policy a partir das diretivas e fontes que você escolhe, depois entrega o cabeçalho bruto, uma meta tag HTML e trechos add_header de nginx e Apache que você pode colar na sua configuração.
- Quais fontes de CSP recebem aspas simples e quais não?
- Fontes de palavra-chave como 'self', 'none', 'unsafe-inline', 'unsafe-eval' e 'strict-dynamic', além de nonces e hashes, recebem aspas simples. Hosts e esquemas como https:, data: e cdn.example.com ficam sem aspas. A ferramenta coloca as aspas corretamente para você.
- Para que serve o alternador report-only?
- Ele troca o nome do cabeçalho para Content-Security-Policy-Report-Only, que relata violações sem bloquear nada. Use-o para preparar uma nova política em um site no ar e observar o console antes de aplicá-la.
- Posso entregar a política inteira como uma meta tag de CSP?
- Na maior parte, sim — a ferramenta emite uma <meta http-equiv> tag para a política de aplicação. Mas frame-ancestors, report-uri, report-to e sandbox são ignorados em uma meta tag, então use o trecho de cabeçalho HTTP quando sua política depender deles.
- Por que o cabeçalho deixa de fora as diretivas que eu não preenchi?
- As diretivas sem fontes são descartadas para que a saída fique limpa e válida. default-src atua como o fallback para qualquer diretiva de fetch que você deixe vazia, então você só precisa sobrescrever as que forem diferentes.
- Montar o cabeçalho de CSP envia meus hosts para algum lugar?
- Não. O Gerador de CSP roda inteiramente no seu navegador. As diretivas e hosts que você insere ficam no seu dispositivo e nunca são enviados à ArrayKit.
Ferramentas relacionadas
- Gerador de Header Cache-Control — Monte um header HTTP Cache-Control correto com alternadores simples e saída para nginx, Apache e meta.
- Gerador de .htaccess — Monte regras do Apache: HTTPS, redirecionamentos 301, gzip e cache.
- Gerador de Configuração nginx — Monte um server block nginx com proxy reverso, SSL, gzip e cache.
- Gerador de Meta Tags — Gere meta tags de SEO, Open Graph e Twitter Card a partir de um formulário, no navegador.
- Gerador de robots.txt — Monte um robots.txt com regras de User-agent, Allow, Disallow e sitemaps.
- Gerador de htpasswd — Gere uma linha .htpasswd com bcrypt ou SHA-1 para Apache e nginx, no navegador.
Todas as ferramentas de ArrayKit