Générateur d'en-têtes CSP

Créez visuellement des en-têtes Content Security Policy : configurez les directives, les sources et exportez en tant qu'en-tête HTTP ou balise meta

default-srcFallback for other directives
script-srcJavaScript sources
style-srcCSS stylesheet sources
img-srcImage sources
font-srcWeb font sources
connect-srcXHR, WebSocket, fetch sources
media-srcAudio and video sources
object-srcPlugin sources (Flash, etc.)
frame-srciframe sources
worker-srcWeb Worker sources
form-actionForm submission targets
base-uriBase element URLs
frame-ancestorsWho can embed this page

Options supplémentaires

Politique générée

En-tête HTTPContent-Security-Policy: default-src 'self'
Balise Meta HTML<meta http-equiv="Content-Security-Policy" content="default-src 'self'">

Générateur d'en-têtes CSP

Créez visuellement des en-têtes Content Security Policy : configurez les directives, les sources et exportez en tant qu'en-tête HTTP ou balise meta

Fonctionnalités

  • Constructeur visuel pour toutes les principales directives CSP
  • Activez les valeurs de source en un clic
  • Ajoutez des domaines personnalisés par directive
  • Préréglage de sécurité strict en un clic
  • Exportez en tant qu'en-tête HTTP ou balise meta HTML
  • Prise en charge de upgrade-insecure-requests et block-all-mixed-content
  • 100% côté client — aucune donnée envoyée aux serveurs

Mode d'emploi

  1. Configurez chaque directive en cliquant sur les valeurs de source.
  2. Ajoutez des domaines personnalisés dans le champ de texte de chaque directive.
  3. Activez les options supplémentaires telles que upgrade-insecure-requests.
  4. Copiez l'en-tête HTTP ou la balise meta générée.

Conseils et bonnes pratiques

  • Commencez par une politique stricte et assouplissez-la si nécessaire.
  • Définissez toujours object-src sur 'none' sauf si vous avez besoin de plugins.
  • Testez votre CSP en mode report-only avant de l'appliquer.

FAQ

Qu'est-ce que la Content Security Policy ?

La CSP est un en-tête HTTP qui aide à prévenir les attaques XSS en contrôlant les ressources qu'un navigateur est autorisé à charger pour une page.

Que signifie 'self' dans CSP ?

'self' autorise les ressources provenant de la même origine (même schéma, hôte et port) que la page elle-même.

Dois-je utiliser upgrade-insecure-requests ?

Oui, si votre site utilise HTTPS. Cela indique au navigateur de mettre automatiquement à niveau les requêtes HTTP vers HTTPS.

Outils associés

Password GeneratorHash GeneratorJWT Decoder & VerifierPassword Strength CheckerSecure Note SharerFile Hash VerifierJWT GeneratorText Encrypt/DecryptSRI Hash GeneratorX.509 / SSL Certificate DecoderPGP Encrypt, Decrypt & Generate KeysIP Address FinderCSV Cleaner & NormalizerMarkdown PreviewerAPI Rate Limiting CalculatorXML ⇄ JSON ConverterCSV ⇄ JSON ConverterUnit Converter