logo
GeekFormat

Constructor de Polítiques CSP

Plantilles de política

Comenceu triant una plantilla i, tot seguit, ajusteu les directrius segons les necessitats del vostre negoci per obtenir una millor eficiència.

Editor de directrius

Editeu les directrius línia per línia. Admet afegir, eliminar i inserció ràpida d'origen.

Resultat de sortida

Content-Security-Policy
Capçalera HTTP
Content-Security-Policy: default-src 'self'; script-src 'self' https:; style-src 'self' 'unsafe-inline' https:; img-src 'self' data: https:; connect-src 'self' https:; frame-ancestors 'self'
Meta HTML
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' https:; style-src 'self' 'unsafe-inline' https:; img-src 'self' data: https:; connect-src 'self' https:; frame-ancestors 'self'">

Avís de risc

Conté 'unsafe-inline', que redueix la protecció XSS.
Es recomana establir explícitament object-src 'none'.

Configureu estratègies CSP en línia, primer munteu l'estructura de protecció XSS.

Relacionats

Casos d'ús

  • Generar una estratègia CSP estàndard abans del llançament del lloc web per verificar ràpidament si afectarà la càrrega de recursos de tercers
  • Localitzar riscos freqüents com unsafe-inline/eval mitjançant la detecció de riscos en diagnosticar estratègies de protecció XSS
  • Generar capçaleres CSP o etiquetes Meta copiables directament per a Nginx, gateways o pàgines frontend
  • Activar el mode Report-Only per observar l'impacte de l'estratègia abans de reforçar progressivament la configuració de seguretat de producció

Característiques

  • Canvi d'un clic entre tres plantilles predefinides: strict (producció), balanced (recomanat), dev (depuració local)
  • Editor de directives amb suport per afegir/eliminar lliurement i tokens d'origen habituals ràpids ('self', 'none', https:, etc.)
  • Sortida simultània en formats HTTP Header i etiquetes HTML Meta, copiar i usar
  • Detecció de riscos integrada: avís immediat per comodins, unsafe-inline, unsafe-eval, falta d'object-src/frame-ancestors, etc.

Com usar-ho

  1. Seleccioneu una plantilla predefinida (strict/balanced/dev) o comenceu des de zero afegint directives
  2. Configureu els valors de cada directiva (default-src, script-src, style-src, etc.) a l'editor de directives
  3. Utilitzeu els botons d'afegir ràpid per complementar tokens d'origen habituals ('self', 'none', https:, etc.)
  4. Copieu l'HTTP Header o l'etiqueta Meta generats per a la configuració del servidor o la inserció a la pàgina

Preguntes freqients

Com generar ràpidament una estratègia CSP adequada per a producció?

Seleccioneu primer la plantilla predefinida strict i després obriu progressivament les directives corresponents segons els recursos de tercers necessaris. Això és més fiable que escriure des de zero i evita ometre restriccions clau.

Quins riscos tenen unsafe-inline i unsafe-eval a CSP?

Redueixen significativament l'efectivitat de la protecció XSS. L'eina informa dels riscos immediatament quan detecta aquestes paraules clau, ajudant-vos a decidir si realment cal permetre'ls.

Es poden generar etiquetes HTML Meta directament?

Sí. L'eina genera simultàniament formats HTTP Header i etiquetes Meta, adequats per copiar i usar directament en diferents escenaris de desplegament.

Quan és adequat usar el mode Report-Only?

És ideal per observar primer l'impacte de l'estratègia sobre les pàgines existents abans d'activar-la formalment. Un cop activat, el navegador només informa les violacions sense bloquejar, facilitant el reforç progressiu de l'estratègia de seguretat.