Generador de Cabeceras CSP

Crea cabeceras de Content Security Policy visualmente: configura directivas, fuentes y exporta como cabecera HTTP o etiqueta meta

default-srcFallback for other directives
script-srcJavaScript sources
style-srcCSS stylesheet sources
img-srcImage sources
font-srcWeb font sources
connect-srcXHR, WebSocket, fetch sources
media-srcAudio and video sources
object-srcPlugin sources (Flash, etc.)
frame-srciframe sources
worker-srcWeb Worker sources
form-actionForm submission targets
base-uriBase element URLs
frame-ancestorsWho can embed this page

Opciones adicionales

Política generada

Cabecera HTTPContent-Security-Policy: default-src 'self'
Etiqueta Meta HTML<meta http-equiv="Content-Security-Policy" content="default-src 'self'">

Generador de Cabeceras CSP

Crea cabeceras de Content Security Policy visualmente: configura directivas, fuentes y exporta como cabecera HTTP o etiqueta meta

Características

  • Constructor visual para todas las directivas principales de CSP
  • Activa valores de origen con un solo clic
  • Añade dominios personalizados por directiva
  • Preajuste de seguridad estricto con un clic
  • Exporta como cabecera HTTP o etiqueta meta HTML
  • Soporte para upgrade-insecure-requests y block-all-mixed-content
  • 100% en el cliente: no se envían datos a servidores

Cómo usar

  1. Configura cada directiva haciendo clic en los valores de origen.
  2. Añade dominios personalizados en el campo de texto de cada directiva.
  3. Habilita opciones adicionales como upgrade-insecure-requests.
  4. Copia la cabecera HTTP o etiqueta meta generada.

Consejos y buenas prácticas

  • Comienza con una política estricta y relájala según sea necesario.
  • Establece siempre object-src en 'none' a menos que necesites complementos.
  • Prueba tu CSP en modo report-only antes de aplicarla.

Preguntas frecuentes

¿Qué es Content Security Policy?

CSP es una cabecera HTTP que ayuda a prevenir ataques XSS controlando qué recursos puede cargar un navegador para una página.

¿Qué significa 'self' en CSP?

'self' permite recursos del mismo origen (mismo esquema, host y puerto) que la propia página.

¿Debería usar upgrade-insecure-requests?

Sí, si tu sitio utiliza HTTPS. Indica al navegador que actualice automáticamente las solicitudes HTTP a HTTPS.

Herramientas relacionadas

Password GeneratorHash GeneratorJWT Decoder & VerifierPassword Strength CheckerSecure Note SharerFile Hash VerifierJWT GeneratorText Encrypt/DecryptSRI Hash GeneratorX.509 / SSL Certificate DecoderPGP Encrypt, Decrypt & Generate KeysIP Address FinderCSV Cleaner & NormalizerMarkdown PreviewerAPI Rate Limiting CalculatorXML ⇄ JSON ConverterCSV ⇄ JSON ConverterUnit Converter