Gerador de Cabeçalho Content-Security-Policy

Monte um cabeçalho Content-Security-Policy diretiva por diretiva, com chips de fonte e trechos prontos para copiar de meta, nginx e Apache. Tudo roda no seu navegador.

O Gerador de CSP roda inteiramente no seu navegador. As diretivas, hosts e esquemas que você insere para montar seu Content-Security-Policy nunca saem do seu dispositivo e não são enviados à ArrayKit.

Abrir o Gerador de Cabeçalho Cache-Control

Sobre Gerador de CSP

O Gerador de CSP monta um cabeçalho Content-Security-Policy uma diretiva de cada vez. Preencha default-src, script-src, style-src, img-src, connect-src, font-src, frame-src e mais clicando em chips de fonte como 'self', 'none', 'unsafe-inline', data: e https:, ou digitando hosts personalizados como cdn.example.com. As fontes de palavra-chave recebem aspas simples para você enquanto os hosts e esquemas ficam sem aspas, então a política é sempre válida. As diretivas vazias são descartadas automaticamente e tudo é emitido em ordem canônica. Vire o alternador report-only para testar uma política em modo de monitoramento antes de aplicá-la, depois copie o cabeçalho bruto, uma meta tag HTML, ou trechos de nginx e Apache prontos para colar. Feito para desenvolvedores fortalecendo um site contra XSS e clickjacking, direto no navegador — a política que você monta nunca sai do seu dispositivo.

Recursos

Como usar Gerador de CSP

  1. Clique nos chips de fonte ou digite um host para adicionar fontes a cada diretiva que você precisa
  2. Deixe vazias as diretivas que você não quer — elas são descartadas da saída
  3. Alterne Report-Only se quiser monitorar violações antes de aplicar
  4. Copie o valor do cabeçalho Content-Security-Policy ou o trecho de meta, nginx ou Apache

Exemplo

Entrada

default-src: 'self'
script-src: 'self' https:
img-src: 'self' data:
object-src: 'none'

Saída

Content-Security-Policy: default-src 'self'; script-src 'self' https:; img-src 'self' data:; object-src 'none'

Palavras-chave como 'self' recebem aspas; esquemas como https: e data: ficam sem aspas.

Erros comuns e solução de problemas

Perguntas frequentes

O que este gerador de CSP produz?
Ele monta um valor completo de cabeçalho Content-Security-Policy a partir das diretivas e fontes que você escolhe, depois entrega o cabeçalho bruto, uma meta tag HTML e trechos add_header de nginx e Apache que você pode colar na sua configuração.
Quais fontes de CSP recebem aspas simples e quais não?
Fontes de palavra-chave como 'self', 'none', 'unsafe-inline', 'unsafe-eval' e 'strict-dynamic', além de nonces e hashes, recebem aspas simples. Hosts e esquemas como https:, data: e cdn.example.com ficam sem aspas. A ferramenta coloca as aspas corretamente para você.
Para que serve o alternador report-only?
Ele troca o nome do cabeçalho para Content-Security-Policy-Report-Only, que relata violações sem bloquear nada. Use-o para preparar uma nova política em um site no ar e observar o console antes de aplicá-la.
Posso entregar a política inteira como uma meta tag de CSP?
Na maior parte, sim — a ferramenta emite uma <meta http-equiv> tag para a política de aplicação. Mas frame-ancestors, report-uri, report-to e sandbox são ignorados em uma meta tag, então use o trecho de cabeçalho HTTP quando sua política depender deles.
Por que o cabeçalho deixa de fora as diretivas que eu não preenchi?
As diretivas sem fontes são descartadas para que a saída fique limpa e válida. default-src atua como o fallback para qualquer diretiva de fetch que você deixe vazia, então você só precisa sobrescrever as que forem diferentes.
Montar o cabeçalho de CSP envia meus hosts para algum lugar?
Não. O Gerador de CSP roda inteiramente no seu navegador. As diretivas e hosts que você insere ficam no seu dispositivo e nunca são enviados à ArrayKit.

Ferramentas relacionadas

Todas as ferramentas de ArrayKit