ZenovayTools

Générateur d'en-tête CSP

Générez des en-têtes de politique de sécurité du contenu visuellement. Configurez les directives avec des sources prédéfinies, des URL personnalisées et des présélections.

Presets:

Directives1 enabled

default-src

Fallback for all resource types

script-src

JavaScript sources

style-src

CSS sources

img-src

Image sources

font-src

Font sources

connect-src

Fetch / XHR / WebSocket

media-src

Audio and video sources

object-src

Plugin sources (Flash, etc.)

frame-src

Iframe sources

base-uri

Restricts <base> tag URLs

form-action

Form submission targets

frame-ancestorsHTTP header only

Who can embed this page (not for meta)

report-uriHTTP header only

Violation report endpoint URL

Output Format
HTTP Header
Content-Security-Policy: default-src 'self'
Policy Value Only
default-src 'self'

Policy Summary

1
Directives
18
Header length
object-src not set to 'none'
Plugin security

Comment utiliser Générateur d'en-tête CSP

  1. 1Activez et configurez les directives CSP.
  2. 2Ajoutez des sources pour chaque directive.
  3. 3Choisissez un préajustage.
  4. 4Copiez la sortie en en-tête HTTP ou balise meta.
ZenovayAnalytics

Analytics sans aucun bandeau cookies.

  • Suivi des visiteurs en temps réel
  • Vie privée d'abord, sans bandeau cookies
  • Installé en deux minutes
Découvrir Zenovay

Outils connexes

Générateur de Mot de Passe
Générez des mots de passe forts et aléatoires avec longueur, caractères et complexité personnalisables.
Vérificateur de Force de Mot de Passe
Vérifiez la force de votre mot de passe. Obtenez un temps de fissuration estimé et des suggestions d'amélioration.
Générateur HMAC
Générez des signatures HMAC en utilisant SHA-256, SHA-384 ou SHA-512 avec l'API Web Crypto.
Chiffrement/Déchiffrement AES
Chiffrez et déchiffrez du texte avec AES-GCM et la dérivation de clé PBKDF2. S'exécute entièrement dans votre navigateur.

Questions fréquemment posées

Qu'est-ce que la Politique de sécurité du contenu (CSP) ?
CSP est un en-tête HTTP de sécurité qui contrôle les ressources qu'un navigateur est autorisé à charger pour une page. Il atténue les attaques XSS en spécifiant les sources approuvées pour les scripts, les styles, les images, les polices et autres ressources.
Qu'est-ce que les directives CSP ?
Les directives sont des règles dans un en-tête CSP. default-src définit la politique par défaut. script-src contrôle les sources JavaScript. style-src contrôle les sources CSS. img-src contrôle les images. Chaque directive accepte des valeurs de source comme 'self', 'none', des URL spécifiques et des mots-clés.
Comment CSP prévient-il le XSS ?
CSP bloque par défaut les scripts et styles en ligne (sauf si 'unsafe-inline' est spécifié). Il empêche le chargement de scripts à partir de domaines non autorisés. Même si un attaquant injecte du HTML, le navigateur refuse d'exécuter les scripts qui ne correspondent pas à la politique CSP.
Qu'est-ce que report-uri dans CSP ?
report-uri spécifie une URL où le navigateur envoie des rapports JSON sur les violations de CSP. Cela permet de surveiller et de déboguer votre politique sans bloquer les ressources. Utilisez l'en-tête Content-Security-Policy-Report-Only pour tester les politiques avant de les appliquer.
Quelles sont les meilleures pratiques CSP ?
Commencez par une politique stricte et assouplissez-la au besoin. Évitez 'unsafe-inline' et 'unsafe-eval'. Utilisez des nonces ou des hachages pour les scripts en ligne. Testez d'abord en mode Report-Only. Incluez default-src 'none' et autorisez explicitement chaque type de ressource.