CSP Header Generator

Build Content Security Policy headers visually — configure directives, sources, and export as HTTP header or meta tag

default-srcFallback for other directives
script-srcJavaScript sources
style-srcCSS stylesheet sources
img-srcImage sources
font-srcWeb font sources
connect-srcXHR, WebSocket, fetch sources
media-srcAudio and video sources
object-srcPlugin sources (Flash, etc.)
frame-srciframe sources
worker-srcWeb Worker sources
form-actionForm submission targets
base-uriBase element URLs
frame-ancestorsWho can embed this page

Additional Options

Generated Policy

HTTP HeaderContent-Security-Policy: default-src 'self'
HTML Meta Tag<meta http-equiv="Content-Security-Policy" content="default-src 'self'">

CSP Header Generator

Build Content Security Policy headers visually — configure directives, sources, and export as HTTP header or meta tag

Features

  • Візуальний конструктор для всіх основних директив CSP
  • Перемикайте значення джерел одним кліком
  • Додавайте користувацькі домени для кожної директиви
  • Суворий пресет безпеки в один клік
  • Експорт як HTTP-заголовок або HTML мета-тег
  • Підтримка upgrade-insecure-requests і block-all-mixed-content
  • 100% на стороні клієнта — дані не надсилаються на сервери

How to use

  1. Налаштуйте кожну директиву, клацаючи на значеннях джерел.
  2. Додайте користувацькі домени в текстове поле кожної директиви.
  3. Увімкніть додаткові параметри, такі як upgrade-insecure-requests.
  4. Скопіюйте згенерований HTTP-заголовок або мета-тег.

Tips & Best Practices

  • Почніть із суворої політики та послаблюйте її за потреби.
  • Завжди встановлюйте object-src у 'none', якщо вам не потрібні плагіни.
  • Тестуйте вашу CSP у режимі report-only перед застосуванням.

FAQ

Що таке Content Security Policy?

CSP — це HTTP-заголовок, який допомагає запобігти XSS-атакам, контролюючи, які ресурси браузеру дозволено завантажувати для сторінки.

Що означає 'self' у CSP?

'self' дозволяє ресурси з того самого джерела (та сама схема, хост і порт), що й сама сторінка.

Чи варто використовувати upgrade-insecure-requests?

Так, якщо ваш сайт використовує HTTPS. Це вказує браузеру автоматично оновлювати HTTP-запити до HTTPS.

Related Tools

Password GeneratorHash GeneratorJWT Decoder & VerifierPassword Strength CheckerSecure Note SharerFile Hash VerifierJWT GeneratorText Encrypt/DecryptSRI Hash GeneratorX.509 / SSL Certificate DecoderPGP Encrypt, Decrypt & Generate KeysIP Address FinderCSV Cleaner & NormalizerMarkdown PreviewerAPI Rate Limiting CalculatorXML ⇄ JSON ConverterCSV ⇄ JSON ConverterUnit Converter