logo
GeekFormat

Trình tạo CSP

Mẫu chính sách

Bắt đầu bằng cách chọn một mẫu, sau đó tinh chỉnh các chỉ thị theo nhu cầu kinh doanh của bạn.

Trình chỉnh sửa chỉ thị

Chỉnh sửa chỉ thị từng dòng. Hỗ trợ thêm, xóa và chèn nguồn nhanh.

Kết quả đầu ra

Content-Security-Policy
Tiêu đề HTTP
Content-Security-Policy: default-src 'self'; script-src 'self' https:; style-src 'self' 'unsafe-inline' https:; img-src 'self' data: https:; connect-src 'self' https:; frame-ancestors 'self'
Meta HTML
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' https:; style-src 'self' 'unsafe-inline' https:; img-src 'self' data: https:; connect-src 'self' https:; frame-ancestors 'self'">

Cảnh báo rủi ro

Chứa 'unsafe-inline', giảm bảo vệ XSS.
Khuyến nghị đặt rõ ràng object-src 'none'.

Tạo CSP trực tuyến, trước tiên cấu hình rõ quy tắc nguồn.

Đề xuất Liên quan

Trường hợp sử dụng

  • Tạo một phiên bản CSP khả thi trước khi website triển khai, giảm rủi ro tiêm script và tài nguyên bên thứ ba mất kiểm soát
  • Cấu hình frame-ancestors là 'none' trong trang quản trị để ngăn trang bị nhúng vào website lừa đảo
  • Chuyển mẫu preset môi trường phát triển cho phép http:, ws:, 'unsafe-inline' và 'unsafe-eval'
  • Tạo header phản hồi CSP và thẻ meta có thể triển khai trực tiếp cho Nginx, Cloudflare hoặc dịch vụ back-end

Tính năng

  • Cấu hình riêng quy tắc theo loại tài nguyên: Script, style, ảnh, địa chỉ API không lẫn lộn
  • Yên tâm hơn trước khi triển khai: Bổ sung CSP cơ bản trước, sau đó dần siết chặt chính sách
  • Ít gặp lỗi whitelist: Giảm các lỗi thường gặp như thiếu nguồn, thiếu dấu chấm phẩy và xung đột quy tắc
  • Có thể triển khai ngay sau khi tạo: Phù hợp sao chép vào máy chủ, CDN hoặc cổng bảo mật để dùng trực tiếp

Cách Sử dụng

  1. Chọn mẫu preset (môi trường production nghiêm ngặt, khuyến nghị cân bằng hoặc phát triển cục bộ) hoặc thêm dòng lệnh thủ công
  2. Chỉnh sửa giá trị nguồn của từng lệnh, dùng nút nguồn nhanh để thêm đánh dấu 'self', https: v.v. một lần
  3. Chuyển đổi có bật chế độ Report-Only không, xem header phản hồi HTTP và thẻ meta HTML được tạo tự động
  4. Kiểm tra danh sách cảnh báo rủi ro, sao chép nội dung CSP để dùng cho cấu hình máy chủ hoặc thẻ head trang

Câu hỏi Thường gặp

CSP chủ yếu dùng để giải quyết vấn đề gì?

CSP dùng để giới hạn những script, style, ảnh, API và nguồn iframe mà trang có thể tải, là lớp then chốt trong baseline bảo mật front-end.

Lỗi thường gặp nhất khi cấu hình CSP là gì?

Vấn đề thường gặp gồm viết sai whitelist, thiếu tên miền CDN, chặn nhầm script hoặc style nội tuyến, và nguồn môi trường test không nhất quán với môi trường production. Trình tạo có thể giúp bạn xây dựng quy tắc nhanh hơn.

Có phù hợp dùng cho cấu hình header phản hồi Nginx, Cloudflare hoặc back-end không?

Phù hợp. Nội dung CSP sau khi tạo có thể sao chép trực tiếp vào Nginx, Apache, Node.js, Java, Cloudflare hoặc cấu hình header phản hồi bảo mật khác.

Công cụ này có phù hợp làm cấu hình bảo mật trước khi website triển khai không?

Rất phù hợp. Nó giúp developer và nhóm vận hành nhanh chóng tạo quy tắc CSP cơ bản trước khi triển khai, giảm thiếu sót và lỗi định dạng khi viết tay chính sách.