CSP-Header-Generator
Generieren Sie Content-Security-Policy-Header visuell. Konfigurieren Sie Direktiven mit vordefinierten Quellen, benutzerdefinierten URLs und Voreinstellungen.
Presets:
Directives1 enabled
default-srcFallback for all resource types
script-srcJavaScript sources
style-srcCSS sources
img-srcImage sources
font-srcFont sources
connect-srcFetch / XHR / WebSocket
media-srcAudio and video sources
object-srcPlugin sources (Flash, etc.)
frame-srcIframe sources
base-uriRestricts <base> tag URLs
form-actionForm submission targets
frame-ancestorsHTTP header onlyWho can embed this page (not for meta)
report-uriHTTP header onlyViolation report endpoint URL
Output Format
HTTP Header
Content-Security-Policy: default-src 'self'
Policy Value Only
default-src 'self'
Policy Summary
1
Directives
18
Header length
object-src not set to 'none'
Plugin security
So verwenden Sie CSP-Header-Generator
- 1Aktivieren und konfigurieren Sie CSP-Direktiven.
- 2Fügen Sie Quellen für jede Direktive hinzu.
- 3Wählen Sie eine Voreinstellung.
- 4Kopieren Sie die HTTP-Header- oder Meta-Tag-Ausgabe.
ZenovayAnalytics
Analytics ganz ohne Cookie-Banner.
- Besucher-Tracking in Echtzeit
- Datenschutz zuerst, kein Cookie-Banner
- In zwei Minuten eingerichtet
Verwandte Tools
Passwort-Generator
Generieren Sie starke, zufällige Passwörter mit anpassbarer Länge, Zeichen und Komplexität.Passwort-Stärke-Prüfer
Überprüfen Sie, wie stark Ihr Passwort ist. Erhalten Sie eine geschätzte Knackzeit und Verbesserungsvorschläge.HMAC-Generator
Generieren Sie HMAC-Signaturen mit SHA-256, SHA-384 oder SHA-512 mit der Web Crypto API.AES-Verschlüsselung/Entschlüsselung
Verschlüsseln und entschlüsseln Sie Text mit AES-GCM und PBKDF2-Schlüsselableitung. Läuft vollständig in Ihrem Browser.Häufig gestellte Fragen
Was ist Content Security Policy (CSP)?▾
CSP ist ein HTTP-Sicherheits-Header, der steuert, welche Ressourcen ein Browser für eine Seite laden darf. Es mindert XSS-Angriffe, indem es genehmigte Quellen für Skripte, Stile, Bilder, Schriftarten und andere Ressourcen angibt.
Was sind CSP-Direktiven?▾
Direktiven sind Regeln innerhalb eines CSP-Headers. default-src legt die Fallback-Richtlinie fest. script-src steuert JavaScript-Quellen. style-src steuert CSS-Quellen. img-src steuert Bilder. Jede Direktive akzeptiert Quellwerte wie 'self', 'none', spezifische URLs und Schlüsselwörter.
Wie verhindert CSP XSS?▾
CSP blockiert Inline-Skripte und Stile standardmäßig (es sei denn, 'unsafe-inline' ist angegeben). Es verhindert das Laden von Skripten aus nicht autorisierten Domänen. Selbst wenn ein Angreifer HTML einfügt, weigert sich der Browser, Skripte auszuführen, die nicht der CSP-Richtlinie entsprechen.
Was ist report-uri in CSP?▾
report-uri gibt eine URL an, an die der Browser JSON-Berichte über CSP-Verstöße sendet. Dies hilft, Ihre Richtlinie zu überwachen und zu debuggen, ohne Ressourcen zu blockieren. Verwenden Sie den Content-Security-Policy-Report-Only-Header, um Richtlinien zu testen, bevor Sie sie erzwingen.
Was sind Best Practices für CSP?▾
Beginnen Sie mit einer strikten Richtlinie und lockern Sie sie nach Bedarf. Vermeiden Sie 'unsafe-inline' und 'unsafe-eval'. Verwenden Sie Nonces oder Hashes für Inline-Skripte. Testen Sie zunächst mit dem Report-Only-Modus. Fügen Sie default-src 'none' ein und erlauben Sie explizit jeden Ressourcentyp.