CSPヘッダージェネレータ

Content Security Policyヘッダーを視覚的に生成します。事前定義されたソース、カスタムURL、プリセットでディレクティブを設定します。

Presets:

Directives1 enabled

default-src

Fallback for all resource types

script-src

JavaScript sources

style-src

CSS sources

img-src

Image sources

font-src

Font sources

connect-src

Fetch / XHR / WebSocket

media-src

Audio and video sources

object-src

Plugin sources (Flash, etc.)

frame-src

Iframe sources

base-uri

Restricts <base> tag URLs

form-action

Form submission targets

frame-ancestorsHTTP header only

Who can embed this page (not for meta)

report-uriHTTP header only

Violation report endpoint URL

Output Format

HTTP Header

Content-Security-Policy: default-src 'self'

Policy Value Only

default-src 'self'

Policy Summary

Directives

Header length

object-src not set to 'none'

Plugin security

CSPヘッダージェネレータの使い方

1CSPディレクティブを有効にして設定します。
2各ディレクティブのソースを追加します。
3プリセットを選択してください。
4HTTPヘッダーまたはメタタグ出力をコピーします。

Zenovayアナリティクス

クッキーバナーのいらないアナリティクス。

リアルタイムの訪問者トラッキング
プライバシーファースト、クッキーバナーなし
2分でセットアップ

Zenovayを見る

よくある質問

Content Security Policy（CSP）とは何ですか？▾

CSPは、ブラウザがページのために読み込むことが許可されたリソースを制御するセキュリティHTTPヘッダーです。スクリプト、スタイル、画像、フォント、その他のリソースの承認されたソースを指定することにより、XSS攻撃を軽減します。

CSPディレクティブとは何ですか？▾

ディレクティブはCSPヘッダー内のルールです。default-srcはフォールバックポリシーを設定します。script-srcはJavaScriptソースを制御します。style-srcはCSSソースを制御します。img-srcは画像を制御します。各ディレクティブは「self」、「none」、特定のURL、キーワードなどのソース値を受け入れます。

CSPはどのようにXSSを防ぎますか？▾

CSPはデフォルトでインラインスクリプトとスタイルをブロックします（「unsafe-inline」が指定されていない限り）。不正なドメインからのスクリプト読み込みを防ぎます。攻撃者がHTMLを挿入しても、ブラウザはCSPポリシーに合致しないスクリプトの実行を拒否します。

CSPのreport-uriとは何ですか？▾

report-uriは、ブラウザがCSP違反に関するJSONレポートを送信するURLを指定します。これにより、リソースをブロックすることなくポリシーを監視およびデバッグできます。Content-Security-Policy-Report-Onlyヘッダーを使用して、ポリシーを強制する前にテストします。

CSPのベストプラクティスは何ですか？▾

厳密なポリシーで開始し、必要に応じて緩和します。「unsafe-inline」と「unsafe-eval」を避けます。インラインスクリプトにはnonceまたはハッシュを使用します。最初にReport-Onlyモードでテストします。default-src「none」を含めて、各リソースタイプを明示的に許可します。

画像ツール