Iniciação rápida
-
Set Directivas
Comece com os hosts CDN próprios e necessários.
-
Copiar o cabeçalho
Use em headers de resposta ou meta http-equiv.
Construtor CSP
Preencha default-src, script-src e outras diretivas para gerar uma string de cabeçalho CSP.
Privacidade: processado localmente, nunca carregado.
↓ Colar na área de entrada abaixo para ver os resultados instantaneamente
填写各指令源,实时生成 Content-Security-Policy 头草稿。
default-src
script-src
style-src
img-src
connect-src
CSP 头
Notas
安全提示
生产环境请收紧策略并避免 unsafe-inline。本工具仅生成基础草案,需结合应用实测调整。
Preencha default-src, script-src e outras diretivas para gerar uma string de cabeçalho CSP.
Tipos de produção
Drop unsafe-inline quando possível; use nonces ou hashes para scripts inline.
Características e casos de uso
Escolha visualmente fontes de script / style / image para elaborar cabeçalhos de Content-Security - Policy ou meta tags.
Use ao endurecer novos sites, corrigir scripts inline bloqueados, remediar pentest e apertar CSP.
Fluxo de trabalho típico
Ao usar o Construtor CSP, primeiro identifique os tipos de recursos que você precisa proteger, como scripts, estilos ou imagens. Selecione as diretrizes adequadas (por exemplo, script-src ou img-src) para cada recurso, em seguida, adicione domínios confiáveis ou palavras-chave (como 'self' ou 'unsafe-inline'). A ferramenta gera a cadeia de cabeçalho CSP completa em tempo real, pronta para ser copiada na configuração do seu servidor.
Durante o teste, é recomendável usar o modo Content-Security - Policy-Report - Only primeiro. Este modo não bloqueará recursos, mas relatará violações. Ajuste sua política com base nos relatórios antes de mudar para o modo de aplicação. A ferramenta suporta alternativas rápidas entre os modos para uma validação de políticas fácil antes da implantação.
Exemplos
Snippet
Input
default-src 'self'
Output
default-src ...; script-src ...
FAQ
Suporte de report-uri?
Cinco diretrizes principais; adicione report-to manualmente, se necessário.
Por que o cabeçalho CSP gerado está causando erros no meu site?
A razão mais comum é omitir domínios de recursos necessários. Verifique os relatórios de violação do CSP no console do navegador para identificar os recursos bloqueados e, em seguida, adicione seus domínios às diretivas correspondentes. Lembre-se que os sites modernos geralmente dependem de CDNs de terceiros que precisam de whitelist explícita.