logo
GeekFormat

Gerador de CSP

Modelos de política

Comece escolhendo um modelo e, em seguida, ajuste as diretivas de acordo com as necessidades do seu negócio.

Editor de diretivas

Edite diretivas linha por linha. Suporta adicionar, excluir e inserção rápida de origem.

Resultado de saída

Content-Security-Policy
Cabeçalho HTTP
Content-Security-Policy: default-src 'self'; script-src 'self' https:; style-src 'self' 'unsafe-inline' https:; img-src 'self' data: https:; connect-src 'self' https:; frame-ancestors 'self'
Meta HTML
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' https:; style-src 'self' 'unsafe-inline' https:; img-src 'self' data: https:; connect-src 'self' https:; frame-ancestors 'self'">

Aviso de risco

Contém 'unsafe-inline', que reduz a proteção XSS.
Recomendado definir explicitamente object-src 'none'.

Gere CSP online e configure regras de origem corretamente.

Sugestões Relacionadas

Casos de uso

  • Antes do deploy do site, gere uma CSP prática para reduzir riscos de injeção de scripts e recursos de terceiros
  • Configure frame-ancestors como 'none' no painel administrativo para evitar que páginas sejam incorporadas em sites de phishing
  • Use templates de desenvolvimento para permitir http:, ws:, 'unsafe-inline' e 'unsafe-eval' no ambiente local
  • Gere cabeçalhos CSP e meta tags prontos para Nginx, Cloudflare ou serviços backend

Recursos

  • Configuração por tipo de recurso: scripts, estilos, imagens e endpoints configurados separadamente
  • Mais tranquilidade antes do deploy: comece com CSP básico e aplique políticas gradualmente
  • Evite erros comuns: reduza whitelist incorreta, domínios CDN esquecidos e conflitos de regras
  • Pronto para deploy: copie diretamente para servidor, CDN ou gateway de segurança

Como Usar

  1. Escolha um template pré-configurado (produção restrita, recomendado balanceado ou desenvolvimento local) ou adicione linhas de instrução manualmente
  2. Edite os valores de origem de cada instrução e use o botão de origem rápida para adicionar 'self', https: e outras flags
  3. Ative o modo Report-Only se necessário e visualize os cabeçalhos HTTP e meta tags HTML gerados automaticamente
  4. Verifique a lista de avisos de risco e copie o conteúdo CSP para configuração do servidor ou tag head da página

Perguntas frequentes

O que a CSP resolve principalmente?

A CSP limita quais scripts, estilos, imagens, endpoints e iframes podem ser carregados pela página, sendo uma camada fundamental na linha de base de segurança frontend.

Quais são os erros mais comuns ao configurar CSP?

Problemas comuns incluem whitelist incorreta, esquecimento de domínios CDN, bloqueio acidental de scripts ou estilos inline e inconsistência entre ambientes de teste e produção.

Serve para configuração de cabeçalhos de resposta no Nginx, Cloudflare ou backend?

Sim. O conteúdo CSP gerado pode ser copiado diretamente para configurações de Nginx, Apache, Node.js, Java, Cloudflare ou outros cabeçalhos de resposta de segurança.

Esta ferramenta serve para configuração de segurança antes do deploy?

É ideal. Ajuda desenvolvedores e operações a gerar rapidamente regras CSP básicas antes do deploy, reduzindo omissões e erros de formatação ao escrever políticas manualmente.