Todas las herramientas
/ tool · 04

CSP Generator

Construye una Content-Security-Policy completa a partir de un editor visual — selecciona las directivas, marca los keywords, añade tus hosts; la cabecera se construye en directo.

Importar una policy existente

Recupera una CSP vía URL (lee las cabeceras HTTP + etiquetas <meta>) o pega directamente una cabecera para pre-rellenar el editor.

// Lee Content-Security-Policy, Content-Security-Policy-Report-Only y las etiquetas <meta>.

// Ninguna directiva seleccionada

ℹ El modo Meta Tag no soporta frame-ancestors, report-uri, report-to ni sandbox.

Directivas

Haz clic en un keyword para activarlo. Escribe tus hosts/URLs separados por un espacio en el campo libre.

─ Fetch Directives — Sources autorisées par type de ressource récupérée.
default-src — Fallback pour toutes les autres fetch directives.
script-src — <script>, eval(), workers inline, event handlers.
script-src-elem — Restreint uniquement les balises <script>.
script-src-attr — Event handlers inline (onclick, etc.).
style-src — <style>, <link rel="stylesheet">, attributs style inline.
style-src-elem — Restreint <style> et <link rel="stylesheet">.
style-src-attr — Attributs style inline.
img-src — <img>, favicon, background-image, etc.
connect-src — fetch, XHR, WebSocket, EventSource, Beacon.
font-src — @font-face — sources des fontes.
frame-src — <frame> et <iframe>.
media-src — <audio>, <video>, <track>.
object-src — Plugins (<object>, <embed>) — recommandé : 'none'.
manifest-src — Web App Manifest.
worker-src — Web Workers, Service Workers, Shared Workers.
child-src — Workers + frames (legacy — préférer worker-src + frame-src).
prefetch-src — <link rel="prefetch"> (déprécié).
fenced-frame-src — <fencedframe> (Privacy Sandbox).
─ Document & Navigation — Restrictions au niveau document et navigation.
base-uri — Valeurs autorisées dans <base href>.
form-action — Cibles de soumission des <form>.
frame-ancestors — Pages autorisées à embedder cette page (remplace X-Frame-Options).
sandbox — Sandbox la page (sans valeur = sandbox total).
─ Reporting — Endpoints pour recevoir les rapports de violation.
report-uri — Endpoint qui reçoit les rapports (déprécié mais encore utilisé).
report-to — Groupe défini via l'en-tête Reporting-Endpoints.
─ Trusted Types & Other — Directives complémentaires et toggles.
require-trusted-types-for — Active Trusted Types pour les sinks.
trusted-types — Politiques Trusted Types autorisées.
— Convertit automatiquement HTTP → HTTPS.
— Bloque tout contenu HTTP sur une page HTTPS (déprécié).

Cobertura

  • Fetch directives — las 18 directivas de fetch (script, style, img, connect, font, frame, media, object, manifest, worker, child, prefetch, fenced-frame, +elem/attr).
  • Document & nav — base-uri, form-action, frame-ancestors, sandbox.
  • Reporting — report-uri (legacy) + report-to (moderno).
  • Trusted Types — require-trusted-types-for, trusted-types.
  • Modes — Header HTTP / etiqueta meta / Report-Only.
  • Live — construcción en directo + botón copy.