Avvio veloce
-
Set le direttive
Inizia con i tuoi host CDN e quelli richiesti.
-
Copia di header
Usa gli intestazioni di risposta o meta http-equiv.
Il costruttore CSP
Riempire default-src, script-src e altre direttive per generare una stringa di intestazione CSP.
Privacy: elaborato localmente, mai caricato.
↓ Incolla nell 'area di input qui sotto per vedere i risultati istantaneamente
填写各指令源,实时生成 Content-Security-Policy 头草稿。
default-src
script-src
style-src
img-src
connect-src
CSP 头
Note
安全提示
生产环境请收紧策略并避免 unsafe-inline。本工具仅生成基础草案,需结合应用实测调整。
Riempire default-src, script-src e altre direttive per generare una stringa di intestazione CSP.
Tippi di produzione
Drop unsafe-inline quando possibile; utilizzare nonci o hash per gli script inline.
Caratteristiche e casi d'uso
Scegliere visivamente le fonti di script / style / image per disegnare intestazioni Content-Security - Policy o meta tag.
Utilizzare quando si induriscono nuovi siti, si risolvono gli script inline bloccati, si verificano le correzioni e si stringono i CSP.
Tipico Workflow
Quando si utilizza CSP Builder, è necessario identificare prima i tipi di risorse da proteggere, ad esempio gli script, gli stili o le immagini. Selezionare le direttive appropriate (ad es. script-src o img-src) per ogni risorsa, quindi aggiungere domini o parole chiave attendibili (come 'self' o 'unsafe-inline'). Lo strumento genera la stringa completa di intestazione CSP in tempo reale, pronta per la copia nella configurazione del server.
Durante il test, si consiglia di utilizzare prima la modalità Content-Security - Policy-Report - Only. Questa modalità non blocca le risorse, ma segnala violazioni. Modifica il tuo criterio in base ai report prima di passare alla modalità di applicazione. Lo strumento supporta il passaggio rapido tra le modalità per una semplice convalida delle policy prima della distribuzione.
Esempi
Snippet
Input
default-src 'self'
Output
default-src ...; script-src ...
FAQ
Supporto report-uri?
Cinque direttive di base; aggiungere report-to manualmente se necessario.
Perché l'intestazione CSP generata provoca errori sul mio sito web?
Il motivo più comune è l'omissione dei domini di risorse richiesti. Controllare i report di violazione CSP nella console del browser per identificare le risorse bloccate, quindi aggiungere i loro domini alle direttive corrispondenti. Ricorda che i siti web moderni spesso si affidano a CDN di terze parti che richiedono una whitelist esplicita.