Generador de Encabezado CSP

Genera encabezados de Content-Security-Policy con un editor visual. Elige directivas, usa presets y copia el resultado.

default-srcFallback for all resource types

script-srcJavaScript sources

style-srcCSS sources

img-srcImage sources

font-srcFont sources

connect-srcFetch, XHR, WebSocket

frame-srcIframe sources

object-srcPlugin sources (Flash, etc.)

media-srcAudio/video sources

form-actionForm submission targets

frame-ancestorsWho can embed this page

base-uriRestricts <base> tag URLs

Generated Policy

HTTP Header

Content-Security-Policy: default-src 'self'

HTML Meta Tag

<meta http-equiv="Content-Security-Policy" content="default-src 'self'">

Cómo usar Generador de Encabezado CSP

1Comienza con un preset (estricto, moderado o permisivo) o construye desde cero.
2Configura directivas individuales como script-src, style-src e img-src.
3Agrega orígenes permitidos (self, dominios específicos, inline, eval) para cada directiva.
4Previsualiza la cadena de encabezado CSP generada.
5Copia el resultado como encabezado HTTP o etiqueta meta HTML.

ZenovayAnalytics

Analytics sin ningún aviso de cookies.

Seguimiento de visitantes en tiempo real
Privacidad primero, sin aviso de cookies
Configurado en dos minutos

Descubre Zenovay

Herramientas relacionadas

Generador de Contraseñas

Genera contraseñas fuertes y aleatorias con longitud, caracteres y complejidad personalizables.

Verificador de Fortaleza de Contraseña

Verifica qué tan fuerte es tu contraseña. Obtén un tiempo estimado de descifrado y sugerencias de mejora.

Generador HMAC

Genera firmas HMAC usando SHA-256, SHA-384 o SHA-512 con la API Web Crypto.

Cifrado/Descifrado AES

Cifra y descifra texto usando AES-GCM con derivación de clave PBKDF2. Se ejecuta completamente en tu navegador.

Preguntas frecuentes

¿Qué es Content-Security-Policy (CSP)?▾

CSP es una cabecera HTTP que controla qué recursos puede cargar un navegador para una página. Ayuda a prevenir ataques de cross-site scripting (XSS), clickjacking y otras inyecciones de código.

¿Qué hace cada directiva?▾

default-src es el respaldo para todos los tipos de recursos. script-src controla JavaScript, style-src controla CSS, img-src controla imágenes, connect-src controla fetch/XHR, font-src controla fuentes, frame-src controla iframes y form-action controla el envío de formularios.

¿Debo usar una metaetiqueta CSP o una cabecera HTTP?▾

Se prefiere una cabecera HTTP ya que cubre todos los tipos de contenido. Una metaetiqueta funciona para políticas básicas pero tiene limitaciones: no puede usar las directivas frame-ancestors ni report-uri.

¿Cuáles son los valores CSP más comunes?▾

'self' permite solo el mismo origen. 'none' bloquea todo. 'unsafe-inline' permite scripts/estilos en línea (no recomendado). Dominios específicos como https://cdn.ejemplo.com incluyen en la lista blanca ese origen.

¿Se procesa localmente mi configuración CSP?▾

Sí, la cabecera CSP se construye completamente en su navegador. No se envía ningún dato de configuración a ningún servidor.

¿Puedo copiar la cabecera CSP generada?▾

Sí. La cadena de cabecera generada puede copiarse con un clic para pegarla en la configuración de su servidor web, archivo .htaccess o middleware de la aplicación.

¿Cómo puedo probar mi política CSP?▾

Después de implementar la cabecera CSP, abra las herramientas de desarrollador de su navegador y compruebe la consola en busca de informes de infracciones CSP. También puede usar las directivas report-uri o report-to para recopilar infracciones en producción.