CSP Header Generator

Build Content Security Policy headers visually — configure directives, sources, and export as HTTP header or meta tag

default-srcFallback for other directives
script-srcJavaScript sources
style-srcCSS stylesheet sources
img-srcImage sources
font-srcWeb font sources
connect-srcXHR, WebSocket, fetch sources
media-srcAudio and video sources
object-srcPlugin sources (Flash, etc.)
frame-srciframe sources
worker-srcWeb Worker sources
form-actionForm submission targets
base-uriBase element URLs
frame-ancestorsWho can embed this page

Additional Options

Generated Policy

HTTP HeaderContent-Security-Policy: default-src 'self'
HTML Meta Tag<meta http-equiv="Content-Security-Policy" content="default-src 'self'">

CSP Header Generator

Build Content Security Policy headers visually — configure directives, sources, and export as HTTP header or meta tag

Features

  • Constructor visual para todas las directivas principales de CSP
  • Activa valores de origen con un solo clic
  • Añade dominios personalizados por directiva
  • Preajuste de seguridad estricto con un clic
  • Exporta como cabecera HTTP o etiqueta meta HTML
  • Soporte para upgrade-insecure-requests y block-all-mixed-content
  • 100% en el cliente: no se envían datos a servidores

How to use

  1. Configura cada directiva haciendo clic en los valores de origen.
  2. Añade dominios personalizados en el campo de texto de cada directiva.
  3. Habilita opciones adicionales como upgrade-insecure-requests.
  4. Copia la cabecera HTTP o etiqueta meta generada.

Tips & Best Practices

  • Comienza con una política estricta y relájala según sea necesario.
  • Establece siempre object-src en 'none' a menos que necesites complementos.
  • Prueba tu CSP en modo report-only antes de aplicarla.

FAQ

¿Qué es Content Security Policy?

CSP es una cabecera HTTP que ayuda a prevenir ataques XSS controlando qué recursos puede cargar un navegador para una página.

¿Qué significa 'self' en CSP?

'self' permite recursos del mismo origen (mismo esquema, host y puerto) que la propia página.

¿Debería usar upgrade-insecure-requests?

Sí, si tu sitio utiliza HTTPS. Indica al navegador que actualice automáticamente las solicitudes HTTP a HTTPS.

Related Tools

Password GeneratorHash GeneratorJWT Decoder & VerifierPassword Strength CheckerSecure Note SharerFile Hash VerifierJWT GeneratorText Encrypt/DecryptSRI Hash GeneratorX.509 / SSL Certificate DecoderPGP Encrypt, Decrypt & Generate KeysIP Address FinderCSV Cleaner & NormalizerMarkdown PreviewerAPI Rate Limiting CalculatorXML ⇄ JSON ConverterCSV ⇄ JSON ConverterUnit Converter