logo
GeekFormat

CSP-Generator

Richtlinienvorlagen

Wählen Sie zunächst eine Vorlage aus und passen Sie dann die Richtlinien nach Ihren Geschäftsanforderungen an.

Richtlinien-Editor

Bearbeiten Sie Richtlinien zeilenweise. Unterstützt Hinzufügen, Löschen und schnelles Einfügen von Quellen.

Ausgabeergebnis

Content-Security-Policy
HTTP-Header
Content-Security-Policy: default-src 'self'; script-src 'self' https:; style-src 'self' 'unsafe-inline' https:; img-src 'self' data: https:; connect-src 'self' https:; frame-ancestors 'self'
HTML-Meta
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' https:; style-src 'self' 'unsafe-inline' https:; img-src 'self' data: https:; connect-src 'self' https:; frame-ancestors 'self'">

Risikowarnung

Enthält 'unsafe-inline', was den XSS-Schutz verringert.
Es wird empfohlen, object-src 'none' explizit festzulegen.

CSP online generieren – Quellregeln zuerst klar konfigurieren.

Ähnliche Tools

Anwendungsfälle

  • Vor Website-Deployment eine praktikable CSP generieren, um Skript-Injection und Third-Party-Ressourcen-Risiken zu reduzieren
  • Admin-Panel frame-ancestors auf 'none' setzen, um Einbettung in Phishing-Websites zu verhindern
  • Entwicklungsumgebung zwischen Entwicklungspresets mit http:, ws:, 'unsafe-inline' und 'unsafe-eval' wechseln
  • Für Nginx, Cloudflare oder Backend-Services direkt deploybare CSP-Response-Header und Meta-Tags generieren

Funktionen

  • Quellregeln nach Ressourcentyp getrennt: Skripte, Styles, Bilder und API-Adressen nicht vermischen
  • Vor dem Deployment sicher: Zuerst Basis-CSP ergänzen, dann schrittweise verschärfen
  • Weniger Whitelist-Fallen: Häufige Fehler wie fehlende Quellen, vergessene Semikolons und Regelkonflikte reduzieren
  • Direkt deploybar: Ideal für Server, CDN oder Security-Gateway-Konfiguration

Anleitung

  1. Preset-Vorlage wählen (strikt Production, ausgewogen empfohlen oder Development Local) oder manuell Direktiven hinzufügen
  2. Quellwerte für jede Direktive bearbeiten, Quick-Source-Buttons für 'self', https: etc. verwenden
  3. Report-Only-Modus umschalten, automatisch generierte HTTP-Response-Header und HTML-Meta-Tags anzeigen
  4. Risikowarnliste prüfen, CSP-Inhalt für Serverkonfiguration oder Page-Head-Tag kopieren

Häufig gestellte Fragen

Wofür wird CSP hauptsächlich verwendet?

CSP beschränkt, welche Skripte, Styles, Bilder, APIs und iframes eine Seite laden darf. Es ist eine entscheidende Schicht in der Frontend-Sicherheitsbasis.

Was sind die häufigsten Fehler bei der CSP-Konfiguration?

Häufige Probleme sind falsch geschriebene Whitelists, vergessene CDN-Domains, blockierte Inline-Skripte/Styles und unterschiedliche Quellen zwischen Test- und Production-Umgebungen. Der Generator hilft, Regeln schneller zu erstellen.

Ist es für Nginx-, Cloudflare- oder Backend-Response-Header-Konfiguration geeignet?

Ja. Der generierte CSP-Inhalt lässt sich direkt in Nginx, Apache, Node.js, Java, Cloudflare oder andere Security-Response-Header-Konfigurationen kopieren.

Ist dieses Tool für Pre-Deployment-Sicherheitskonfiguration geeignet?

Sehr gut geeignet. Es hilft Development und Ops, Basis-CSP-Regeln vor dem Deployment schnell zu generieren, was manuelle Strategie-Fehler und Formatfehler reduziert.