logo
GeekFormat

CSP Oluşturucu

Politika Şablonları

Bir şablon seçerek başlayın, ardından daha iyi verimlilik için iş gereksinimlerinize göre yönergeleri ayarlayın.

Yönerge Editörü

Yönergeleri satır satır düzenleyin. Ekleme, silme ve hızlı kaynak ekleme desteklenir.

Çıktı Sonucu

Content-Security-Policy
HTTP Üstbilgisi
Content-Security-Policy: default-src 'self'; script-src 'self' https:; style-src 'self' 'unsafe-inline' https:; img-src 'self' data: https:; connect-src 'self' https:; frame-ancestors 'self'
HTML Meta
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' https:; style-src 'self' 'unsafe-inline' https:; img-src 'self' data: https:; connect-src 'self' https:; frame-ancestors 'self'">

Risk Uyarısı

'unsafe-inline' içeriyor, bu da XSS korumasını azaltır.
object-src 'none' ayarlanması açıkça önerilir.

Online CSP oluşturma, önce kaynak kurallarını net şekilde yapılandırın.

İlgili Öneriler

Kullanım senaryoları

  • Site yayına hazırlanırken uygulanabilir bir CSP oluşturarak betik enjeksiyonu ve üçüncü taraf kaynak kontrolsüzlüğü riskini azaltın
  • Yönetim panelinde frame-ancestors 'none' olarak yapılandırarak sayfanın kimlik avı sitelerine gömülmesini önleyin
  • Geliştirme ortamında geliştirme ön ayar şablonuna geçerek http:, ws:, 'unsafe-inline' ve 'unsafe-eval' izin verin
  • Nginx, Cloudflare veya arka uç servis için doğrudan dağıtılabilecek CSP yanıt başlığı ve meta etiketi oluşturun

Özellikler

  • Kaynak kuralları kaynak türüne göre ayrı yapılandırılır: Betik, stil, resim, API adresi karışmaz
  • Yayına alma öncesi daha güvenli: Önce temel CSP tamamlanır, ardından politika kademeli olarak sıkılaştırılır
  • Beyaz liste tuzaklarından daha az kaçının: Kaynak yazmayı unutma, noktalı virgül atlama ve kural çakışması gibi yaygın hataları azaltın
  • Oluşturulduktan sonra dağıtıma hazır: Sunucu, CDN veya güvenlik ağ geçidine kopyalayıp doğrudan kullanmak için uygundur

Nasıl Kullanılır

  1. Ön ayar şablonu seçin (sıkı üretim ortamı, dengeli öneri veya geliştirme yerel) veya manuel olarak yönerge satırı ekleyin
  2. Her yönerge için kaynak değerini düzenleyin, hızlı kaynak düğmesiyle 'self', https: gibi işaretleri tek tuşla ekleyin
  3. Report-Only modunun etkinleştirilip etkinleştirilmeyeceğini değiştirin, otomatik olarak oluşturulan HTTP yanıt başlığını ve HTML meta etiketini görüntüleyin
  4. Risk uyarı listesini kontrol edin, sunucu yapılandırması veya sayfa head etiketi için CSP içeriğini kopyalayın

Sık Sorulan Sorular

CSP temel olarak hangi sorunları çözmek için kullanılır?

CSP, sayfanın hangi betik, stil, resim, API ve iframe kaynaklarını yükleyebileceğini sınırlamak için kullanılır. Ön uç güvenlik temel çizgisinde çok kritik bir katmandır.

CSP yapılandırırken en yaygın hatalar nelerdir?

Yaygın sorunlar arasında yanlış yazılmış beyaz liste, CDN alan adının atlanması, satır içi betik veya stilin yanlışlıkla engellenmesi ve test ortamı ile üretim ortamı kaynaklarının tutarsız olması bulunur. Oluşturucu, kural oluşturmanızı daha hızlı hale getirebilir.

Nginx, Cloudflare veya arka uç yanıt başlığı yapılandırması için uygun mu?

Evet. Oluşturulan CSP içeriği doğrudan Nginx, Apache, Node.js, Java, Cloudflare veya diğer güvenlik yanıt başlığı yapılandırmasına kopyalanabilir.

Bu araç site yayına alma öncesi güvenlik yapılandırması yapmak için uygun mu?

Kesinlikle uygun. Geliştirme ve operasyon ekibinin yayına alma öncesi temel CSP kurallarını hızlıca oluşturmasına yardımcı olarak manuel politika yazma sırasında eksiklik ve biçim hatalarını azaltır.