Generar una política CSP robusta antes de publicar un sitio web para reducir el riesgo de XSS y control de terceros
Configurar directivas de 'frame-ancestors' para evitar que tu página sea embebida en sitios de phishing
Ajustar reglas en entornos de desarrollo permitiendo fuentes locales y scripts en línea de forma temporal
Obtener cabeceras HTTP y etiquetas meta listas para implementar en Nginx, Cloudflare o el código fuente de la web
Características
Configuración granular de recursos: Define reglas independientes para scripts, estilos, imágenes y conexiones de API sin mezclar orígenes
Seguridad preventiva: Establece una base de seguridad sólida antes del lanzamiento para mitigar ataques de inyección y recursos no autorizados
Prevención de errores comunes: Reduce fallos de sintaxis, puntos y comas olvidados o conflictos de reglas en el archivo de política
Despliegue inmediato: Genera el código listo para ser copiado en la configuración de tu servidor, CDN o etiquetas meta de HTML
Cómo Usar
Elige una plantilla predefinida (Producción, Recomendada o Desarrollo) o añade directivas manualmente
Configura los orígenes para cada directiva usando botones rápidos para 'self', https: y otras marcas comunes
Selecciona si deseas usar el modo 'Report-Only' para pruebas sin bloqueos reales
Copia el contenido generado para aplicarlo en la configuración de tu servidor o en la cabecera del documento
Preguntas Frecuentes
¿Qué problemas resuelve principalmente el CSP?
El CSP limita qué recursos (scripts, imágenes, etc.) puede cargar una página, siendo una de las defensas más efectivas contra ataques de inyección de código (XSS).
¿Cuáles son los errores más frecuentes al configurar CSP?
Olvidar dominios de CDNs, bloquear accidentalmente estilos en línea necesarios o tener reglas contradictorias. Este generador ayuda a evitar estos fallos manuales.
¿Puedo usarlo en Nginx, Cloudflare o en el backend?
Sí. El resultado es una cadena estándar que puedes pegar directamente en la configuración de cabeceras de respuesta de cualquier servidor moderno.
¿Es adecuado para auditar la seguridad antes del lanzamiento?
Absolutamente. Permite a los equipos de desarrollo y sistemas definir rápidamente una política de seguridad coherente y profesional para el sitio web.