logo
GeekFormat

Générateur CSP

Modèles de politique

Commencez par choisir un modèle, puis affinez les directives selon les besoins de votre entreprise.

Éditeur de directives

Modifiez les directives ligne par ligne. Prend en charge l'ajout, la suppression et l'insertion rapide de source.

Résultat de sortie

Content-Security-Policy
En-tête HTTP
Content-Security-Policy: default-src 'self'; script-src 'self' https:; style-src 'self' 'unsafe-inline' https:; img-src 'self' data: https:; connect-src 'self' https:; frame-ancestors 'self'
Meta HTML
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' https:; style-src 'self' 'unsafe-inline' https:; img-src 'self' data: https:; connect-src 'self' https:; frame-ancestors 'self'">

Avertissement de risque

Contient 'unsafe-inline', ce qui réduit la protection XSS.
Il est recommandé de définir explicitement object-src 'none'.

Générez des CSP en ligne, configurez d'abord clairement les règles de source.

Recommandations connexes

Cas d'utilisation

  • Générez une CSP applicable avant le lancement du site pour réduire les risques d'injection de scripts et de ressources tierces incontrôlées
  • Configurez frame-ancestors sur 'none' dans le panneau d'administration pour empêcher l'intégration de pages par des sites de phishing
  • Basculez vers un modèle de développement pour autoriser http:, ws:, 'unsafe-inline' et 'unsafe-eval' en environnement de développement
  • Générez des en-têtes de réponse CSP et des balises meta directement déployables pour Nginx, Cloudflare ou les services backend

Fonctionnalités

  • Configuration par type de ressource : scripts, styles, images, adresses d'interface séparés
  • Sérénité avant mise en production : complétez d'abord la CSP de base, puis renforcez progressivement la politique
  • Évitez les erreurs courantes de liste blanche : réduisez les sources manquantes, les points-virgules oubliés et les conflits de règles
  • Prêt à déployer après génération : convient pour copier dans le serveur, CDN ou gateway de sécurité

Comment utiliser

  1. Sélectionnez un modèle prédéfini (production stricte, équilibré recommandé ou développement local) ou ajoutez manuellement des lignes de directives
  2. Modifiez les valeurs de source pour chaque directive, utilisez le bouton de source rapide pour ajouter en un clic les marqueurs 'self', https:, etc.
  3. Activez ou non le mode Report-Only, consultez les en-têtes de réponse HTTP et les balises meta HTML générés automatiquement
  4. Vérifiez la liste des avertissements de risque, copiez le contenu CSP pour la configuration serveur ou les balises head de la page

FAQ

Quel problème la CSP résout-elle principalement ?

La CSP limite les sources de scripts, styles, images, interfaces et iframes qu'une page peut charger. C'est une couche essentielle de la ligne de base de sécurité frontend.

Quelles sont les erreurs les plus courantes lors de la configuration de la CSP ?

Les problèmes courants incluent des erreurs dans la liste blanche, l'omission de domaines CDN, le blocage incorrect de scripts ou styles inline, et des incohérences entre les environnements de test et de production. Le générateur vous aide à construire des règles plus rapidement.

Convient-il pour la configuration des en-têtes de réponse Nginx, Cloudflare ou backend ?

Oui. Le contenu CSP généré peut être directement copié dans Nginx, Apache, Node.js, Java, Cloudflare ou d'autres configurations d'en-têtes de sécurité.

Cet outil convient-il pour la configuration de sécurité avant le lancement d'un site ?

Absolument. Il aide les développeurs et les administrateurs à générer rapidement des règles CSP de base avant le lancement, réduisant ainsi les omissions et les erreurs de format lors de la saisie manuelle des politiques.