logo
GeekFormat

Generator CSP

Szablony polityki

Zacznij od wyboru szablonu, a następnie dostosuj dyrektywy do potrzeb swojej firmy.

Edytor dyrektyw

Edytuj dyrektywy linia po linii. Obsługuje dodawanie, usuwanie i szybkie wstawianie źródeł.

Wynik wyjściowy

Content-Security-Policy
Nagłówek HTTP
Content-Security-Policy: default-src 'self'; script-src 'self' https:; style-src 'self' 'unsafe-inline' https:; img-src 'self' data: https:; connect-src 'self' https:; frame-ancestors 'self'
Meta HTML
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' https:; style-src 'self' 'unsafe-inline' https:; img-src 'self' data: https:; connect-src 'self' https:; frame-ancestors 'self'">

Ostrzeżenie o ryzyku

Zawiera 'unsafe-inline', co zmniejsza ochronę XSS.
Zalecane jest jawne ustawienie object-src 'none'.

Generowanie CSP online, najpierw skonfiguruj jasno reguły źródła.

Powiązane Rekomendacje

Przypadki użycia

  • Wygeneruj wersję CSP gotową do wdrożenia przed uruchomieniem witryny, redukując ryzyko wstrzykiwania skryptów i niekontrolowanych zasobów zewnętrznych
  • Skonfiguruj frame-ancestors na 'none' w panelu administracyjnym, aby zapobiec osadzaniu strony na witrynach phishingowych
  • Przełącz szablon deweloperski w środowisku programistycznym, aby zezwolić na http:, ws:, 'unsafe-inline' i 'unsafe-eval'
  • Wygeneruj nagłówek odpowiedzi CSP i tag meta gotowe do bezpośredniego wdrożenia dla Nginx, Cloudflare lub usług backendowych

Funkcje

  • Reguły źródła konfigurowane osobno według typu zasobu: skrypty, style, obrazy, adresy interfejsu nie mieszają się
  • Większy spokój przed uruchomieniem: najpierw uzupełnij podstawowy CSP, a następnie stopniowo zaostrzaj politykę
  • Mniej problemów z białą listą: redukcja powszechnych błędów takich jak pominięcie źródła, brak średnika i konflikty reguł
  • Gotowe do wdrożenia po wygenerowaniu: idealne do skopiowania do serwera, CDN lub bramy bezpieczeństwa do bezpośredniego użycia

Jak Używać

  1. Wybierz szablon preset (ścisłe środowisko produkcyjne, zalecane zrównoważone lub lokalne deweloperskie) lub ręcznie dodaj wiersz dyrektywy
  2. Edytuj wartości źródła każdej dyrektywy, użyj przycisku szybkiego źródła, aby jednym kliknięciem dodać znaczniki takie jak 'self', https:
  3. Przełącz czy włączyć tryb Report-Only, wyświetl automatycznie generowany nagłówek odpowiedzi HTTP i tag meta HTML
  4. Sprawdź listę ostrzeżeń o ryzyku, skopiuj treść CSP do konfiguracji serwera lub tagu head strony

Często Zadawane Pytania

Do czego głównie służy CSP?

CSP służy do ograniczania, które skrypty, style, obrazy, interfejsy i źródła iframe mogą być ładowane na stronie, jest bardzo kluczową warstwą w linii bezpieczeństwa frontendu.

Jaki jest najczęstszy błąd podczas konfigurowania CSP?

Powszechne problemy obejmują błędy w białej liście, pominięcie domeny CDN, błędne blokowanie skryptów lub stylów inline oraz niespójne źródła między środowiskiem testowym a produkcyjnym. Generator pomaga szybciej konstruować reguły.

Czy nadaje się do konfiguracji nagłówków odpowiedzi Nginx, Cloudflare lub backendu?

Tak. Wygenerowana treść CSP może być bezpośrednio skopiowana do Nginx, Apache, Node.js, Java, Cloudflare lub innych konfiguracji nagłówków odpowiedzi bezpieczeństwa.

Czy to narzędzie nadaje się do konfiguracji bezpieczeństwa witryny przed uruchomieniem?

Bardzo odpowiednie. Pomaga programistom i administracji szybko wygenerować podstawowe reguły CSP przed uruchomieniem, redukując pominięcia i błędy formatowania podczas ręcznego pisania polityki.