Genera una versione praticabile di CSP prima che il sito vada online, riducendo il rischio di iniezione script e risorse di terze parti fuori controllo
Configura frame-ancestors su 'none' nel pannello di amministrazione per impedire che la pagina venga incorporata in siti di phishing
Passa a template predefiniti di sviluppo in ambiente locale per consentire http:, ws:, 'unsafe-inline' e 'unsafe-eval'
Genera header di risposta CSP e tag meta direttamente deployabili per Nginx, Cloudflare o servizi backend
Funzionalità
Regole origine configurate separatamente per tipo di risorsa: script, stili, immagini, indirizzi interfaccia non si mescolano
Più tranquillità prima del rilascio: completa prima la CSP base, poi restringi gradualmente la politica
Meno problemi con le whitelist: riduce errori frequenti come origini dimenticate, punti e virgola mancanti e conflitti di regole
Pronto per il deployment dopo la generazione: ideale per copiare in server, CDN o gateway di sicurezza per l'uso diretto
Come utilizzare
Seleziona un template predefinito (produzione rigorosa, bilanciamento consigliato o sviluppo locale) oppure aggiungi manualmente righe di direttive
Modifica i valori origine di ciascuna direttiva, usa i pulsanti origine rapida per aggiungere con un clic marker come 'self', https:, ecc.
Passa alla modalità Report-Only se abilitata, visualizza l'header di risposta HTTP e il tag meta HTML generati automaticamente
Controlla la lista degli avvisi di rischio, copia il contenuto CSP per configurazione server o tag head della pagina
Domande frequenti
A cosa serve principalmente la CSP?
La CSP viene utilizzata per limitare da quali origini script, stili, immagini, interfacce e iframe possono essere caricati nella pagina. È un livello fondamentale nella linea di base della sicurezza frontend.
Quali sono gli errori più comuni quando si configura la CSP?
I problemi comuni includono whitelist scritte erroneamente, omissione di domini CDN, blocco accidentale di script o stili inline, e origini inconsistenti tra ambiente di test e ambiente di produzione. Il generatore può aiutarti a costruire le regole più rapidamente.
È adatto per configurazione header risposta Nginx, Cloudflare o backend?
Assolutamente sì. Il contenuto CSP generato può essere copiato direttamente in Nginx, Apache, Node.js, Java, Cloudflare o altre configurazioni di header di risposta sicurezza.
Questo strumento è adatto per configurazione sicurezza del sito prima del rilascio?
Assolutamente sì. Aiuta sviluppo e operations a generare rapidamente regole CSP base prima del rilascio, riducendo omissioni ed errori di formato quando si scrivono le politiche manualmente.