logo
GeekFormat

Генератор CSP

Шаблоны политики

Начните с выбора шаблона, а затем настройте директивы в соответствии с потребностями вашего бизнеса.

Редактор директив

Редактируйте директивы строка за строкой. Поддерживает добавление, удаление и быструю вставку источников.

Результат вывода

Content-Security-Policy
HTTP-заголовок
Content-Security-Policy: default-src 'self'; script-src 'self' https:; style-src 'self' 'unsafe-inline' https:; img-src 'self' data: https:; connect-src 'self' https:; frame-ancestors 'self'
HTML Meta
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' https:; style-src 'self' 'unsafe-inline' https:; img-src 'self' data: https:; connect-src 'self' https:; frame-ancestors 'self'">

Предупреждение о риске

Содержит 'unsafe-inline', что снижает защиту от XSS.
Рекомендуется явно установить object-src 'none'.

Создание CSP онлайн — сначала настройте правила источников.

Похожие

Варианты использования

  • Перед релизом сайта создайте работоспособный CSP, снижая риск инъекций скриптов и бесконтрольных сторонних ресурсов
  • Настройте frame-ancestors в 'none' для админ-панели, чтобы предотвратить встраивание страниц фишинговыми сайтами
  • Переключите шаблон разработки, разрешив http:, ws:, 'unsafe-inline' и 'unsafe-eval' для локальной среды
  • Создайте CSP-заголовок и meta-тег для Nginx, Cloudflare или бэкенд-сервиса, готовые к развёртыванию

Функции

  • Источники по типам ресурсов: скрипты, стили, изображения, адреса API — всё раздельно
  • Уверенность перед релизом: сначала добавьте базовый CSP, затем постепенно ужесточайте
  • Меньше ошибок в белом списке: пропущенные источники, забытые точки с запятой и конфликты правил
  • Готово к развёртыванию: результат подходит для копирования в сервер, CDN или шлюз безопасности

Как использовать

  1. Выберите шаблон (строгий продакшн, рекомендуемый баланс или разработка) или добавьте директивы вручную
  2. Настройте значения источников для каждой директивы, используйте кнопки быстрого добавления 'self', https: и других маркеров
  3. Переключите режим Report-Only, просмотрите автоматически сгенерированный HTTP-заголовок и HTML meta-тег
  4. Проверьте список предупреждений о рисках, скопируйте CSP для серверной конфигурации или тега head страницы

Часто задаваемые вопросы

Какую проблему решает CSP?

CSP ограничивает, какие скрипты, стили, изображения, API и iframe может загружать страница — это один из ключевых уровней безопасности фронтенда.

Какие ошибки встречаются чаще всего при настройке CSP?

Распространённые проблемы: ошибки в белом списке, пропущенные домены CDN, блокировка встроенных скриптов или стилей, различия между тестовой и продакшн-средой. Генератор помогает быстрее создать правила.

Подходит ли для Nginx, Cloudflare или бэкенд-заголовков?

Да. Сгенерированный CSP можно скопировать в Nginx, Apache, Node.js, Java, Cloudflare или другую конфигурацию заголовков безопасности.

Подходит ли инструмент для настройки безопасности сайта перед релизом?

Отлично подходит. Он помогает разработчикам и DevOps быстро создать базовые правила CSP перед релизом, снижая вероятность ошибок и пропусков при ручном написании.