Gerador de Headers CSP

Gere headers de Content-Security-Policy com um editor visual. Escolha diretivas, use presets e copie o resultado.

default-srcFallback for all resource types

script-srcJavaScript sources

style-srcCSS sources

img-srcImage sources

font-srcFont sources

connect-srcFetch, XHR, WebSocket

frame-srcIframe sources

object-srcPlugin sources (Flash, etc.)

media-srcAudio/video sources

form-actionForm submission targets

frame-ancestorsWho can embed this page

base-uriRestricts <base> tag URLs

Generated Policy

HTTP Header

Content-Security-Policy: default-src 'self'

HTML Meta Tag

<meta http-equiv="Content-Security-Policy" content="default-src 'self'">

Como Usar Gerador de Headers CSP

1Comece com um preset (strict, moderate ou permissive) ou crie do zero.
2Configure diretivas individuais como script-src, style-src e img-src.
3Adicione fontes permitidas (self, domínios específicos, inline, eval) para cada diretiva.
4Visualize a string de header CSP gerada.
5Copie o resultado como header HTTP ou meta tag HTML.

ZenovayAnalytics

Analytics sem nenhum banner de cookies.

Acompanhamento de visitantes em tempo real
Privacidade em primeiro lugar, sem banner de cookies
Configurado em dois minutos

Conheça o Zenovay

Ferramentas Relacionadas

Gerador de Senha

Gere senhas fortes e aleatórias com comprimento, caracteres e complexidade personalizáveis.

Verificador de Força da Senha

Verifique o quão forte é sua senha. Obtenha um tempo estimado de quebra e sugestões de melhoria.

Gerador HMAC

Gere assinaturas HMAC usando SHA-256, SHA-384 ou SHA-512 com a Web Crypto API.

Criptografia/Descriptografia AES

Criptografe e descriptografe texto usando AES-GCM com derivação de chave PBKDF2. Executa totalmente no seu navegador.

Perguntas Frequentes

O que é Content-Security-Policy (CSP)?▾

CSP é um cabeçalho HTTP que controla quais recursos um navegador pode carregar para uma página. Ajuda a prevenir ataques de cross-site scripting (XSS), clickjacking e outras injeções de código.

O que cada diretiva faz?▾

default-src é o fallback para todos os tipos de recursos. script-src controla JavaScript, style-src controla CSS, img-src controla imagens, connect-src controla fetch/XHR, font-src controla fontes, frame-src controla iframes e form-action controla envios de formulários.

Devo usar uma meta tag CSP ou um cabeçalho HTTP?▾

Um cabeçalho HTTP é preferido pois cobre todos os tipos de conteúdo. Uma meta tag funciona para políticas básicas, mas tem limitações: não pode usar as diretivas frame-ancestors ou report-uri.

Quais são os valores comuns de CSP?▾

'self' permite apenas a mesma origem. 'none' bloqueia tudo. 'unsafe-inline' permite scripts/estilos inline (não recomendado). Domínios específicos como https://cdn.example.com adicionam essa origem à lista branca.

Minha configuração CSP é processada localmente?▾

Sim, o cabeçalho CSP é construído inteiramente no seu navegador. Nenhum dado de configuração é enviado a nenhum servidor.

Posso copiar o cabeçalho CSP gerado?▾

Sim. A string de cabeçalho gerada pode ser copiada com um clique para colar na configuração do seu servidor web, arquivo .htaccess ou middleware da aplicação.

Como testo minha política CSP?▾

Após implantar o cabeçalho CSP, abra as ferramentas de desenvolvedor do seu navegador e verifique o console para relatórios de violação de CSP. Você também pode usar as diretivas report-uri ou report-to para coletar violações em produção.