Generador de Cabeceras CSP
Crea cabeceras de Content Security Policy visualmente: configura directivas, fuentes y exporta como cabecera HTTP o etiqueta meta
default-srcFallback for other directivesscript-srcJavaScript sourcesstyle-srcCSS stylesheet sourcesimg-srcImage sourcesfont-srcWeb font sourcesconnect-srcXHR, WebSocket, fetch sourcesmedia-srcAudio and video sourcesobject-srcPlugin sources (Flash, etc.)frame-srciframe sourcesworker-srcWeb Worker sourcesform-actionForm submission targetsbase-uriBase element URLsframe-ancestorsWho can embed this pageOpciones adicionales
Política generada
Cabecera HTTP
Content-Security-Policy: default-src 'self'Etiqueta Meta HTML
<meta http-equiv="Content-Security-Policy" content="default-src 'self'">Generador de Cabeceras CSP
Crea cabeceras de Content Security Policy visualmente: configura directivas, fuentes y exporta como cabecera HTTP o etiqueta meta
Características
- Constructor visual para todas las directivas principales de CSP
- Activa valores de origen con un solo clic
- Añade dominios personalizados por directiva
- Preajuste de seguridad estricto con un clic
- Exporta como cabecera HTTP o etiqueta meta HTML
- Soporte para upgrade-insecure-requests y block-all-mixed-content
- 100% en el cliente: no se envían datos a servidores
Cómo usar
- Configura cada directiva haciendo clic en los valores de origen.
- Añade dominios personalizados en el campo de texto de cada directiva.
- Habilita opciones adicionales como upgrade-insecure-requests.
- Copia la cabecera HTTP o etiqueta meta generada.
Consejos y buenas prácticas
- Comienza con una política estricta y relájala según sea necesario.
- Establece siempre object-src en 'none' a menos que necesites complementos.
- Prueba tu CSP en modo report-only antes de aplicarla.
Preguntas frecuentes
¿Qué es Content Security Policy?
CSP es una cabecera HTTP que ayuda a prevenir ataques XSS controlando qué recursos puede cargar un navegador para una página.
¿Qué significa 'self' en CSP?
'self' permite recursos del mismo origen (mismo esquema, host y puerto) que la propia página.
¿Debería usar upgrade-insecure-requests?
Sí, si tu sitio utiliza HTTPS. Indica al navegador que actualice automáticamente las solicitudes HTTP a HTTPS.