CSP Header Generator

Build Content Security Policy headers visually — configure directives, sources, and export as HTTP header or meta tag

default-srcFallback for other directives
script-srcJavaScript sources
style-srcCSS stylesheet sources
img-srcImage sources
font-srcWeb font sources
connect-srcXHR, WebSocket, fetch sources
media-srcAudio and video sources
object-srcPlugin sources (Flash, etc.)
frame-srciframe sources
worker-srcWeb Worker sources
form-actionForm submission targets
base-uriBase element URLs
frame-ancestorsWho can embed this page

Additional Options

Generated Policy

HTTP HeaderContent-Security-Policy: default-src 'self'
HTML Meta Tag<meta http-equiv="Content-Security-Policy" content="default-src 'self'">

CSP Header Generator

Build Content Security Policy headers visually — configure directives, sources, and export as HTTP header or meta tag

Features

  • Visuele builder voor alle belangrijke CSP-directives
  • Schakel bronwaarden in met één klik
  • Voeg aangepaste domeinen toe per directive
  • Strikte beveiligingsvoorinstelling met één klik
  • Exporteer als HTTP-header of HTML meta-tag
  • Ondersteuning voor upgrade-insecure-requests en block-all-mixed-content
  • 100% aan de clientzijde — geen gegevens verzonden naar servers

How to use

  1. Configureer elke directive door op de bronwaarden te klikken.
  2. Voeg aangepaste domeinen toe in het tekstveld voor elke directive.
  3. Schakel extra opties in, zoals upgrade-insecure-requests.
  4. Kopieer de gegenereerde HTTP-header of meta-tag.

Tips & Best Practices

  • Begin met een strikt beleid en versoepel het naar behoefte.
  • Stel object-src altijd in op 'none' tenzij je plug-ins nodig hebt.
  • Test je CSP in report-only-modus voordat je deze afdwingt.

FAQ

Wat is Content Security Policy?

CSP is een HTTP-header die helpt XSS-aanvallen te voorkomen door te regelen welke bronnen een browser mag laden voor een pagina.

Wat betekent 'self' in CSP?

'self' staat bronnen van dezelfde oorsprong toe (zelfde schema, host en poort) als de pagina zelf.

Moet ik upgrade-insecure-requests gebruiken?

Ja, als je site HTTPS gebruikt. Het instrueert de browser om HTTP-verzoeken automatisch te upgraden naar HTTPS.

Related Tools

Password GeneratorHash GeneratorJWT Decoder & VerifierPassword Strength CheckerSecure Note SharerFile Hash VerifierJWT GeneratorText Encrypt/DecryptSRI Hash GeneratorX.509 / SSL Certificate DecoderPGP Encrypt, Decrypt & Generate KeysIP Address FinderCSV Cleaner & NormalizerMarkdown PreviewerAPI Rate Limiting CalculatorXML ⇄ JSON ConverterCSV ⇄ JSON ConverterUnit Converter