Generar una estratègia CSP estàndard abans del llançament del lloc web per verificar ràpidament si afectarà la càrrega de recursos de tercers
Localitzar riscos freqüents com unsafe-inline/eval mitjançant la detecció de riscos en diagnosticar estratègies de protecció XSS
Generar capçaleres CSP o etiquetes Meta copiables directament per a Nginx, gateways o pàgines frontend
Activar el mode Report-Only per observar l'impacte de l'estratègia abans de reforçar progressivament la configuració de seguretat de producció
Característiques
Canvi d'un clic entre tres plantilles predefinides: strict (producció), balanced (recomanat), dev (depuració local)
Editor de directives amb suport per afegir/eliminar lliurement i tokens d'origen habituals ràpids ('self', 'none', https:, etc.)
Sortida simultània en formats HTTP Header i etiquetes HTML Meta, copiar i usar
Detecció de riscos integrada: avís immediat per comodins, unsafe-inline, unsafe-eval, falta d'object-src/frame-ancestors, etc.
Com usar-ho
Seleccioneu una plantilla predefinida (strict/balanced/dev) o comenceu des de zero afegint directives
Configureu els valors de cada directiva (default-src, script-src, style-src, etc.) a l'editor de directives
Utilitzeu els botons d'afegir ràpid per complementar tokens d'origen habituals ('self', 'none', https:, etc.)
Copieu l'HTTP Header o l'etiqueta Meta generats per a la configuració del servidor o la inserció a la pàgina
Preguntes freqients
Com generar ràpidament una estratègia CSP adequada per a producció?
Seleccioneu primer la plantilla predefinida strict i després obriu progressivament les directives corresponents segons els recursos de tercers necessaris. Això és més fiable que escriure des de zero i evita ometre restriccions clau.
Quins riscos tenen unsafe-inline i unsafe-eval a CSP?
Redueixen significativament l'efectivitat de la protecció XSS. L'eina informa dels riscos immediatament quan detecta aquestes paraules clau, ajudant-vos a decidir si realment cal permetre'ls.
Es poden generar etiquetes HTML Meta directament?
Sí. L'eina genera simultàniament formats HTTP Header i etiquetes Meta, adequats per copiar i usar directament en diferents escenaris de desplegament.
Quan és adequat usar el mode Report-Only?
És ideal per observar primer l'impacte de l'estratègia sobre les pàgines existents abans d'activar-la formalment. Un cop activat, el navegador només informa les violacions sense bloquejar, facilitant el reforç progressiu de l'estratègia de seguretat.