logo
GeekFormat

Generatore CSP

Modelli di policy

Inizia scegliendo un modello, poi regola le direttive in base alle esigenze della tua attività.

Editor direttive

Modifica le direttive riga per riga. Supporta aggiunta, eliminazione e inserimento rapido di sorgente.

Risultato output

Content-Security-Policy
Header HTTP
Content-Security-Policy: default-src 'self'; script-src 'self' https:; style-src 'self' 'unsafe-inline' https:; img-src 'self' data: https:; connect-src 'self' https:; frame-ancestors 'self'
Meta HTML
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' https:; style-src 'self' 'unsafe-inline' https:; img-src 'self' data: https:; connect-src 'self' https:; frame-ancestors 'self'">

Avviso di rischio

Contiene 'unsafe-inline', che riduce la protezione XSS.
Si consiglia di impostare esplicitamente object-src 'none'.

Genera CSP online, configura prima chiaramente le regole origine.

Raccomandazioni correlate

Casi d'uso

  • Genera una versione praticabile di CSP prima che il sito vada online, riducendo il rischio di iniezione script e risorse di terze parti fuori controllo
  • Configura frame-ancestors su 'none' nel pannello di amministrazione per impedire che la pagina venga incorporata in siti di phishing
  • Passa a template predefiniti di sviluppo in ambiente locale per consentire http:, ws:, 'unsafe-inline' e 'unsafe-eval'
  • Genera header di risposta CSP e tag meta direttamente deployabili per Nginx, Cloudflare o servizi backend

Funzionalità

  • Regole origine configurate separatamente per tipo di risorsa: script, stili, immagini, indirizzi interfaccia non si mescolano
  • Più tranquillità prima del rilascio: completa prima la CSP base, poi restringi gradualmente la politica
  • Meno problemi con le whitelist: riduce errori frequenti come origini dimenticate, punti e virgola mancanti e conflitti di regole
  • Pronto per il deployment dopo la generazione: ideale per copiare in server, CDN o gateway di sicurezza per l'uso diretto

Come utilizzare

  1. Seleziona un template predefinito (produzione rigorosa, bilanciamento consigliato o sviluppo locale) oppure aggiungi manualmente righe di direttive
  2. Modifica i valori origine di ciascuna direttiva, usa i pulsanti origine rapida per aggiungere con un clic marker come 'self', https:, ecc.
  3. Passa alla modalità Report-Only se abilitata, visualizza l'header di risposta HTTP e il tag meta HTML generati automaticamente
  4. Controlla la lista degli avvisi di rischio, copia il contenuto CSP per configurazione server o tag head della pagina

Domande frequenti

A cosa serve principalmente la CSP?

La CSP viene utilizzata per limitare da quali origini script, stili, immagini, interfacce e iframe possono essere caricati nella pagina. È un livello fondamentale nella linea di base della sicurezza frontend.

Quali sono gli errori più comuni quando si configura la CSP?

I problemi comuni includono whitelist scritte erroneamente, omissione di domini CDN, blocco accidentale di script o stili inline, e origini inconsistenti tra ambiente di test e ambiente di produzione. Il generatore può aiutarti a costruire le regole più rapidamente.

È adatto per configurazione header risposta Nginx, Cloudflare o backend?

Assolutamente sì. Il contenuto CSP generato può essere copiato direttamente in Nginx, Apache, Node.js, Java, Cloudflare o altre configurazioni di header di risposta sicurezza.

Questo strumento è adatto per configurazione sicurezza del sito prima del rilascio?

Assolutamente sì. Aiuta sviluppo e operations a generare rapidamente regole CSP base prima del rilascio, riducendo omissioni ed errori di formato quando si scrivono le politiche manualmente.