CSP-Header-Generator

Erstellen Sie Content-Security-Policy-Header visuell – konfigurieren Sie Direktiven, Quellen und exportieren Sie als HTTP-Header oder Meta-Tag

default-srcFallback for other directives
script-srcJavaScript sources
style-srcCSS stylesheet sources
img-srcImage sources
font-srcWeb font sources
connect-srcXHR, WebSocket, fetch sources
media-srcAudio and video sources
object-srcPlugin sources (Flash, etc.)
frame-srciframe sources
worker-srcWeb Worker sources
form-actionForm submission targets
base-uriBase element URLs
frame-ancestorsWho can embed this page

Zusätzliche Optionen

Generierte Richtlinie

HTTP-HeaderContent-Security-Policy: default-src 'self'
HTML-Meta-Tag<meta http-equiv="Content-Security-Policy" content="default-src 'self'">

CSP-Header-Generator

Erstellen Sie Content-Security-Policy-Header visuell – konfigurieren Sie Direktiven, Quellen und exportieren Sie als HTTP-Header oder Meta-Tag

Funktionen

  • Visueller Builder für alle wichtigen CSP-Direktiven
  • Quellwerte mit einem Klick umschalten
  • Benutzerdefinierte Domains pro Direktive hinzufügen
  • Strikte Sicherheitsvoreinstellung mit einem Klick
  • Als HTTP-Header oder HTML-Meta-Tag exportieren
  • Unterstützung für upgrade-insecure-requests und block-all-mixed-content
  • 100% clientseitig – keine Daten werden an Server gesendet

Anleitung

  1. Konfigurieren Sie jede Direktive, indem Sie auf die Quellwerte klicken.
  2. Fügen Sie benutzerdefinierte Domains im Textfeld jeder Direktive hinzu.
  3. Aktivieren Sie zusätzliche Optionen wie upgrade-insecure-requests.
  4. Kopieren Sie den generierten HTTP-Header oder das Meta-Tag.

Tipps & Best Practices

  • Beginnen Sie mit einer strengen Richtlinie und lockern Sie diese nach Bedarf.
  • Setzen Sie object-src immer auf 'none', es sei denn, Sie benötigen Plugins.
  • Testen Sie Ihre CSP im report-only-Modus, bevor Sie sie durchsetzen.

FAQ

Was ist Content Security Policy?

CSP ist ein HTTP-Header, der hilft, XSS-Angriffe zu verhindern, indem er steuert, welche Ressourcen ein Browser für eine Seite laden darf.

Was bedeutet 'self' in CSP?

'self' erlaubt Ressourcen vom selben Ursprung (gleiches Schema, Host und Port) wie die Seite selbst.

Sollte ich upgrade-insecure-requests verwenden?

Ja, wenn Ihre Website HTTPS verwendet. Es weist den Browser an, HTTP-Anfragen automatisch auf HTTPS zu aktualisieren.

Verwandte Tools

Password GeneratorHash GeneratorJWT Decoder & VerifierPassword Strength CheckerSecure Note SharerFile Hash VerifierJWT GeneratorText Encrypt/DecryptSRI Hash GeneratorX.509 / SSL Certificate DecoderPGP Encrypt, Decrypt & Generate KeysIP Address FinderCSV Cleaner & NormalizerMarkdown PreviewerAPI Rate Limiting CalculatorXML ⇄ JSON ConverterCSV ⇄ JSON ConverterUnit Converter