CSP Header Generator

Build Content Security Policy headers visually — configure directives, sources, and export as HTTP header or meta tag

default-srcFallback for other directives
script-srcJavaScript sources
style-srcCSS stylesheet sources
img-srcImage sources
font-srcWeb font sources
connect-srcXHR, WebSocket, fetch sources
media-srcAudio and video sources
object-srcPlugin sources (Flash, etc.)
frame-srciframe sources
worker-srcWeb Worker sources
form-actionForm submission targets
base-uriBase element URLs
frame-ancestorsWho can embed this page

Additional Options

Generated Policy

HTTP HeaderContent-Security-Policy: default-src 'self'
HTML Meta Tag<meta http-equiv="Content-Security-Policy" content="default-src 'self'">

CSP Header Generator

Build Content Security Policy headers visually — configure directives, sources, and export as HTTP header or meta tag

Features

  • Construtor visual para todas as principais diretivas CSP
  • Alterne valores de origem com um clique
  • Adicione domínios personalizados por diretiva
  • Predefinição de segurança rigorosa com um clique
  • Exporte como cabeçalho HTTP ou meta tag HTML
  • Suporte a upgrade-insecure-requests e block-all-mixed-content
  • 100% no lado do cliente — nenhum dado é enviado aos servidores

How to use

  1. Configure cada diretiva clicando nos valores de origem.
  2. Adicione domínios personalizados no campo de texto de cada diretiva.
  3. Ative opções adicionais como upgrade-insecure-requests.
  4. Copie o cabeçalho HTTP ou a meta tag gerada.

Tips & Best Practices

  • Comece com uma política rigorosa e relaxe conforme necessário.
  • Sempre defina object-src como 'none' a menos que você precise de plugins.
  • Teste sua CSP no modo report-only antes de aplicá-la.

FAQ

O que é Content Security Policy?

CSP é um cabeçalho HTTP que ajuda a prevenir ataques XSS controlando quais recursos um navegador pode carregar para uma página.

O que significa 'self' no CSP?

'self' permite recursos da mesma origem (mesmo esquema, host e porta) que a própria página.

Devo usar upgrade-insecure-requests?

Sim, se o seu site usa HTTPS. Instrui o navegador a atualizar automaticamente as requisições HTTP para HTTPS.

Related Tools

Password GeneratorHash GeneratorJWT Decoder & VerifierPassword Strength CheckerSecure Note SharerFile Hash VerifierJWT GeneratorText Encrypt/DecryptSRI Hash GeneratorX.509 / SSL Certificate DecoderPGP Encrypt, Decrypt & Generate KeysIP Address FinderCSV Cleaner & NormalizerMarkdown PreviewerAPI Rate Limiting CalculatorXML ⇄ JSON ConverterCSV ⇄ JSON ConverterUnit Converter