ZenovayTools

CSP-Header-Generator

Generieren Sie Content-Security-Policy-Header mit einem visuellen Editor. Wählen Sie Direktiven, verwenden Sie Voreinstellungen und kopieren Sie das Ergebnis.

Generated Policy

HTTP Header
Content-Security-Policy: default-src 'self'
HTML Meta Tag
<meta http-equiv="Content-Security-Policy" content="default-src 'self'">

So verwenden Sie CSP-Header-Generator

  1. 1Beginnen Sie mit einer Voreinstellung (streng, moderat oder freizügig) oder erstellen Sie eine von Grund auf neu.
  2. 2Konfigurieren Sie einzelne Direktiven wie script-src, style-src und img-src.
  3. 3Fügen Sie zulässige Quellen (self, spezifische Domänen, inline, eval) für jede Direktive hinzu.
  4. 4Zeigen Sie eine Vorschau der generierten CSP-Header-Zeichenkette an.
  5. 5Kopieren Sie das Ergebnis als HTTP-Header oder HTML-Meta-Tag.
ZenovayAnalytics

Analytics ganz ohne Cookie-Banner.

  • Besucher-Tracking in Echtzeit
  • Datenschutz zuerst, kein Cookie-Banner
  • In zwei Minuten eingerichtet
Zenovay entdecken

Verwandte Tools

Passwort-Generator
Generieren Sie starke, zufällige Passwörter mit anpassbarer Länge, Zeichen und Komplexität.
Passwort-Stärke-Prüfer
Überprüfen Sie, wie stark Ihr Passwort ist. Erhalten Sie eine geschätzte Knackzeit und Verbesserungsvorschläge.
HMAC-Generator
Generieren Sie HMAC-Signaturen mit SHA-256, SHA-384 oder SHA-512 mit der Web Crypto API.
AES-Verschlüsselung/Entschlüsselung
Verschlüsseln und entschlüsseln Sie Text mit AES-GCM und PBKDF2-Schlüsselableitung. Läuft vollständig in Ihrem Browser.

Häufig gestellte Fragen

Was ist Content-Security-Policy (CSP)?
CSP ist ein HTTP-Header, der steuert, welche Ressourcen ein Browser für eine Seite laden darf. Er hilft, Cross-Site-Scripting (XSS), Clickjacking und andere Code-Injection-Angriffe zu verhindern.
Was bewirkt jede Direktive?
default-src ist der Fallback für alle Ressourcentypen. script-src steuert JavaScript, style-src steuert CSS, img-src steuert Bilder, connect-src steuert fetch/XHR, font-src steuert Schriften, frame-src steuert iframes und form-action steuert Formular-Übermittlungen.
Sollte ich ein CSP-Meta-Tag oder einen HTTP-Header verwenden?
Ein HTTP-Header ist bevorzugt, da er alle Inhaltstypen abdeckt. Ein Meta-Tag funktioniert für grundlegende Richtlinien, hat aber Einschränkungen: Es können keine frame-ancestors- oder report-uri-Direktiven verwendet werden.
Was sind gängige CSP-Werte?
'self' erlaubt nur Same-Origin. 'none' blockiert alles. 'unsafe-inline' erlaubt Inline-Skripte/Styles (nicht empfohlen). Spezifische Domains wie https://cdn.example.com setzen diesen Ursprung auf die Whitelist.
Wird meine CSP-Konfiguration lokal verarbeitet?
Ja, der CSP-Header wird vollständig in Ihrem Browser erstellt. Es werden keine Konfigurationsdaten an einen Server gesendet.
Kann ich den generierten CSP-Header kopieren?
Ja. Der generierte Header-String kann mit einem Klick kopiert werden, um ihn in Ihre Webserver-Konfiguration, .htaccess-Datei oder Anwendungs-Middleware einzufügen.
Wie teste ich meine CSP-Richtlinie?
Nach dem Einsetzen des CSP-Headers öffnen Sie die Entwickler-Tools Ihres Browsers und prüfen Sie die Konsole auf CSP-Verstoßberichte. Sie können auch report-uri- oder report-to-Direktiven verwenden, um Verstöße in der Produktion zu sammeln.