logo
GeekFormat

CSP Builder

策略模板

先选模板,再按业务依赖微调指令,效率更高。

指令编辑器

逐条编辑 directive,支持增删和常用 source 快速插入。

输出结果

Content-Security-Policy
HTTP Header
Content-Security-Policy: default-src 'self'; script-src 'self' https:; style-src 'self' 'unsafe-inline' https:; img-src 'self' data: https:; connect-src 'self' https:; frame-ancestors 'self'
HTML Meta
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' https:; style-src 'self' 'unsafe-inline' https:; img-src 'self' data: https:; connect-src 'self' https:; frame-ancestors 'self'">

风险提示

包含 'unsafe-inline',会降低 XSS 防护强度。
建议显式设置 object-src 'none'。

在线配 CSP 策略,先把 XSS 防护架子搭好。

相关推荐

适用场景

  • 网站上线前先生成一版标准 CSP 策略,快速验证是否会影响第三方资源加载
  • 排查 XSS 防护策略时通过风险检测提示定位 unsafe-inline/eval 等高频隐患
  • 为 Nginx、网关或前端页面生成可直接复制的 CSP Header 或 Meta 标签
  • 启用 Report-Only 模式观察策略影响后再逐步收紧生产环境安全配置

功能特点

  • 三种预设模板一键切换:strict(生产)、balanced(推荐)、dev(本地调试)
  • 指令编辑器支持自由增删、快速添加常用来源令牌('self'、'none'、https: 等)
  • 同时输出 HTTP Header 和 HTML Meta 标签两种格式,复制即用
  • 内置风险检测:通配符、unsafe-inline、unsafe-eval、缺失 object-src/frame-ancestors 等即时提示

使用方法

  1. 选择预设模板(strict/balanced/dev)或从零开始添加指令行
  2. 在指令编辑器中配置各指令(default-src、script-src、style-src 等)的值
  3. 使用快速添加按钮补充常用来源令牌('self'、'none'、https: 等)
  4. 复制生成的 HTTP Header 或 Meta 标签用于服务端配置或页面嵌入

常见问题

如何快速生成适合生产环境的 CSP 策略?

先选 strict 预设模板,再根据实际需要的第三方资源逐步放开对应指令,这样比从零手写更稳,也能避免遗漏关键限制。

CSP 里的 unsafe-inline 和 unsafe-eval 有什么风险?

它们会大幅削弱 XSS 防护效果。工具会在检测到这些关键字时即时提示风险,帮助您判断是否真的需要放行。

可以直接生成 HTML Meta 标签吗?

可以。工具会同时输出 HTTP Header 和 Meta 标签两种格式,适合不同部署场景直接复制使用。

Report-Only 模式适合什么时候用?

适合先观察策略对现有页面的影响再正式启用。开启后浏览器只上报违规不拦截,方便逐步收紧安全策略。