CSP Header Generator
Build Content Security Policy headers visually — configure directives, sources, and export as HTTP header or meta tag
default-srcFallback for other directivesscript-srcJavaScript sourcesstyle-srcCSS stylesheet sourcesimg-srcImage sourcesfont-srcWeb font sourcesconnect-srcXHR, WebSocket, fetch sourcesmedia-srcAudio and video sourcesobject-srcPlugin sources (Flash, etc.)frame-srciframe sourcesworker-srcWeb Worker sourcesform-actionForm submission targetsbase-uriBase element URLsframe-ancestorsWho can embed this pageAdditional Options
Generated Policy
HTTP Header
Content-Security-Policy: default-src 'self'HTML Meta Tag
<meta http-equiv="Content-Security-Policy" content="default-src 'self'">CSP Header Generator
Build Content Security Policy headers visually — configure directives, sources, and export as HTTP header or meta tag
Features
- Constructor visual para todas las directivas principales de CSP
- Activa valores de origen con un solo clic
- Añade dominios personalizados por directiva
- Preajuste de seguridad estricto con un clic
- Exporta como cabecera HTTP o etiqueta meta HTML
- Soporte para upgrade-insecure-requests y block-all-mixed-content
- 100% en el cliente: no se envían datos a servidores
How to use
- Configura cada directiva haciendo clic en los valores de origen.
- Añade dominios personalizados en el campo de texto de cada directiva.
- Habilita opciones adicionales como upgrade-insecure-requests.
- Copia la cabecera HTTP o etiqueta meta generada.
Tips & Best Practices
- Comienza con una política estricta y relájala según sea necesario.
- Establece siempre object-src en 'none' a menos que necesites complementos.
- Prueba tu CSP en modo report-only antes de aplicarla.
FAQ
¿Qué es Content Security Policy?
CSP es una cabecera HTTP que ayuda a prevenir ataques XSS controlando qué recursos puede cargar un navegador para una página.
¿Qué significa 'self' en CSP?
'self' permite recursos del mismo origen (mismo esquema, host y puerto) que la propia página.
¿Debería usar upgrade-insecure-requests?
Sí, si tu sitio utiliza HTTPS. Indica al navegador que actualice automáticamente las solicitudes HTTP a HTTPS.