Générez une CSP applicable avant le lancement du site pour réduire les risques d'injection de scripts et de ressources tierces incontrôlées
Configurez frame-ancestors sur 'none' dans le panneau d'administration pour empêcher l'intégration de pages par des sites de phishing
Basculez vers un modèle de développement pour autoriser http:, ws:, 'unsafe-inline' et 'unsafe-eval' en environnement de développement
Générez des en-têtes de réponse CSP et des balises meta directement déployables pour Nginx, Cloudflare ou les services backend
Fonctionnalités
Configuration par type de ressource : scripts, styles, images, adresses d'interface séparés
Sérénité avant mise en production : complétez d'abord la CSP de base, puis renforcez progressivement la politique
Évitez les erreurs courantes de liste blanche : réduisez les sources manquantes, les points-virgules oubliés et les conflits de règles
Prêt à déployer après génération : convient pour copier dans le serveur, CDN ou gateway de sécurité
Comment utiliser
Sélectionnez un modèle prédéfini (production stricte, équilibré recommandé ou développement local) ou ajoutez manuellement des lignes de directives
Modifiez les valeurs de source pour chaque directive, utilisez le bouton de source rapide pour ajouter en un clic les marqueurs 'self', https:, etc.
Activez ou non le mode Report-Only, consultez les en-têtes de réponse HTTP et les balises meta HTML générés automatiquement
Vérifiez la liste des avertissements de risque, copiez le contenu CSP pour la configuration serveur ou les balises head de la page
FAQ
Quel problème la CSP résout-elle principalement ?
La CSP limite les sources de scripts, styles, images, interfaces et iframes qu'une page peut charger. C'est une couche essentielle de la ligne de base de sécurité frontend.
Quelles sont les erreurs les plus courantes lors de la configuration de la CSP ?
Les problèmes courants incluent des erreurs dans la liste blanche, l'omission de domaines CDN, le blocage incorrect de scripts ou styles inline, et des incohérences entre les environnements de test et de production. Le générateur vous aide à construire des règles plus rapidement.
Convient-il pour la configuration des en-têtes de réponse Nginx, Cloudflare ou backend ?
Oui. Le contenu CSP généré peut être directement copié dans Nginx, Apache, Node.js, Java, Cloudflare ou d'autres configurations d'en-têtes de sécurité.
Cet outil convient-il pour la configuration de sécurité avant le lancement d'un site ?
Absolument. Il aide les développeurs et les administrateurs à générer rapidement des règles CSP de base avant le lancement, réduisant ainsi les omissions et les erreurs de format lors de la saisie manuelle des politiques.