ZenovayTools

CSP ヘッダー ジェネレーター

ビジュアルエディタでContent-Security-Policyヘッダーを生成します。ディレクティブを選択し、プリセットを使用して、結果をコピーします。

Generated Policy

HTTP Header
Content-Security-Policy: default-src 'self'
HTML Meta Tag
<meta http-equiv="Content-Security-Policy" content="default-src 'self'">

CSP ヘッダー ジェネレーターの使い方

  1. 1プリセット(strict、moderate、permissive)から始めるか、ゼロから構築します。
  2. 2script-src、style-src、img-srcのような個別のディレクティブを設定します。
  3. 3各ディレクティブに対して許可されたソース(self、特定のドメイン、inline、eval)を追加します。
  4. 4生成されたCSPヘッダー文字列をプレビューします。
  5. 5結果をHTTPヘッダーまたはHTMLメタタグとしてコピーします。
Zenovayアナリティクス

クッキーバナーのいらないアナリティクス。

  • リアルタイムの訪問者トラッキング
  • プライバシーファースト、クッキーバナーなし
  • 2分でセットアップ
Zenovayを見る

関連ツール

パスワードジェネレーター
カスタマイズ可能な長さ、文字、複雑性で強力でランダムなパスワードを生成します。
パスワード強度チェッカー
パスワードの強さをチェックします。推定クラック時間と改善提案を取得します。
HMACジェネレータ
Web Crypto APIを使用してSHA-256、SHA-384、またはSHA-512でHMAC署名を生成します。
AES暗号化/復号化
AES-GCMおよびPBKDF2キー導出を使用してテキストを暗号化および復号化します。ブラウザー内で完全に実行されます。

よくある質問

Content-Security-Policy(CSP)とは何ですか?
CSPはブラウザがページ用に読み込むことができるリソースを制御するHTTPヘッダーです。クロスサイトスクリプティング(XSS)、クリックジャッキング、およびその他のコード注入攻撃を防ぐのに役立ちます。
各指示は何をしますか?
default-srcはすべてのリソースタイプのフォールバックです。script-srcはJavaScriptを制御し、style-srcはCSSを制御し、img-srcはイメージを制御し、connect-srcはfetch/XHRを制御し、font-srcはフォントを制御し、frame-srcはiframeを制御し、form-actionはフォーム送信を制御します。
CSPメタタグまたはHTTPヘッダーを使用する必要がありますか?
HTTPヘッダーはすべてのコンテンツタイプをカバーするため、推奨されます。メタタグは基本的なポリシーには機能しますが、制限があります。frame-ancestorsまたはreport-uri指示を使用できません。
一般的なCSP値は何ですか?
'self'は同一オリジンのみを許可します。'none'はすべてをブロックします。'unsafe-inline'はインラインスクリプト/スタイルを許可します(推奨されません)。https://cdn.example.com のような特定のドメインはそのオリジンをホワイトリストに登録します。
CSP構成はローカルで処理されていますか?
はい、CSPヘッダーはブラウザ内で完全に構築されます。構成データはサーバーに送信されません。
生成されたCSPヘッダーをコピーできますか?
はい。生成されたヘッダー文字列は1クリックでコピーでき、Webサーバー構成、.htaccessファイル、またはアプリケーションミドルウェアに貼り付けることができます。
CSPポリシーをテストするにはどうしますか?
CSPヘッダーをデプロイした後、ブラウザの開発者ツールを開き、コンソールでCSP違反レポートをチェックしてください。本番環境の違反を収集するために、report-uriまたはreport-to指示を使用することもできます。