logo
GeekFormat

ポリシーテンプレート

まずテンプレートを選択しビジネスのニーズに応じてポリシーを微調整してください。

ディレクティブエディタ

ディレクティブを行ごとに編集。追加、削除、高速ソース挿入をサポート。

出力結果

Content-Security-Policy
HTTPヘッダー
Content-Security-Policy: default-src 'self'; script-src 'self' https:; style-src 'self' 'unsafe-inline' https:; img-src 'self' data: https:; connect-src 'self' https:; frame-ancestors 'self'
HTML Meta
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' https:; style-src 'self' 'unsafe-inline' https:; img-src 'self' data: https:; connect-src 'self' https:; frame-ancestors 'self'">

リスク警告

'unsafe-inline' が含まれており、XSS保護が低下します。
object-src 'none' を明示的に設定することを推奨します。

CSPをオンライン生成。まずソースルールを明確に設定。

関連おすすめ

ユースケース

  • サイトリリース前に実用的なCSPを生成し、スクリプトインジェクション・サードパーティリソースの制御不能リスクを削減
  • 管理画面でframe-ancestorsを'none'に設定し、ページがフィッシングサイトに埋め込まれるのを防止
  • 開発環境で開発プリセットテンプレートに切替、http:・ws:・'unsafe-inline'・'unsafe-eval'を許可
  • Nginx・Cloudflare・バックエンドサービスに直接デプロイ可能なCSPレスポンスヘッダー・metaタグを生成

特徴

  • ソースルールをリソースタイプ別に設定:スクリプト・スタイル・画像・インターフェースアドレスを混在させない
  • リリース前の安心感:まず基本CSPを補完し、段階的にポリシーを厳格化
  • ホワイトリストの罠を回避:ソース漏れ・セミコロン漏れ・ルール衝突などの高頻度エラーを削減
  • 生成後すぐにデプロイ可能:サーバー・CDN・セキュリティゲートウェイに直接コピーして使用可能

使い方

  1. プリセットテンプレートを選択(厳格な本番環境・バランス推奨・開発ローカル)または手動でディレクティブ行を追加
  2. 各ディレクティブのソース値を編集し、クイックソースボタンで'self'・https:などのマークをワンクリック追加
  3. Report-Onlyモードの有無を切替え、自動生成されたHTTPレスポンスヘッダー・HTML metaタグを確認
  4. リスク警告リストをチェックし、CSP内容をコピーしてサーバー設定またはページheadタグに使用

よくある質問

CSPは主にどのような問題を解決しますか?

CSPはページが読み込めるスクリプト・スタイル・画像・インターフェース・iframeのソースを制限するために使用され、フロントエンドセキュリティベースラインにおいて非常に重要な層です。

CSP設定時によくあるエラーは何ですか?

一般的な問題として、ホワイトリストの書き間違い・CDNドメインの漏れ・インラインスクリプトまたはスタイルの誤ブロック・テスト環境と本番環境のソース不一致が挙げられます。ジェネレーターはルールの構築をより迅速に支援します。

Nginx・Cloudflare・バックエンドレスポンスヘッダー設定に適していますか?

適しています。生成後のCSP内容はNginx・Apache・Node.js・Java・Cloudflare・その他のセキュリティレスポンスヘッダー設定に直接コピー可能です。

このツールはサイトリリース前のセキュリティ設定に適していますか?

非常に適しています。開発・インフラがリリース前に基本CSPルールを素早く生成するのに役立ち、手入力ポリシー時の漏れやフォーマットエラーを削減します。