/ tool · 04
CSP Generator
Construye una Content-Security-Policy completa a partir de un editor visual — selecciona las directivas, marca los keywords, añade tus hosts; la cabecera se construye en directo.
Importar una policy existente
Recupera una CSP vía URL (lee las cabeceras HTTP + etiquetas <meta>) o pega directamente una cabecera para pre-rellenar el editor.
// Lee Content-Security-Policy, Content-Security-Policy-Report-Only y las etiquetas <meta>.
// Acepta la cabecera bruta, solo las directivas, o la etiqueta <meta> completa.
// Ninguna directiva seleccionada
ℹ El modo Meta Tag no soporta frame-ancestors, report-uri, report-to ni sandbox.
Directivas
Haz clic en un keyword para activarlo. Escribe tus hosts/URLs separados por un espacio en el campo libre.
─ Fetch Directives — Sources autorisées par type de ressource récupérée.
default-src
— Fallback pour toutes les autres fetch directives.
script-src
— <script>, eval(), workers inline, event handlers.
script-src-elem
— Restreint uniquement les balises <script>.
script-src-attr
— Event handlers inline (onclick, etc.).
style-src
— <style>, <link rel="stylesheet">, attributs style inline.
style-src-elem
— Restreint <style> et <link rel="stylesheet">.
style-src-attr
— Attributs style inline.
img-src
— <img>, favicon, background-image, etc.
connect-src
— fetch, XHR, WebSocket, EventSource, Beacon.
font-src
— @font-face — sources des fontes.
frame-src
— <frame> et <iframe>.
media-src
— <audio>, <video>, <track>.
object-src
— Plugins (<object>, <embed>) — recommandé : 'none'.
manifest-src
— Web App Manifest.
worker-src
— Web Workers, Service Workers, Shared Workers.
child-src
— Workers + frames (legacy — préférer worker-src + frame-src).
prefetch-src
— <link rel="prefetch"> (déprécié).
fenced-frame-src
— <fencedframe> (Privacy Sandbox).
─ Document & Navigation — Restrictions au niveau document et navigation.
base-uri
— Valeurs autorisées dans <base href>.
form-action
— Cibles de soumission des <form>.
frame-ancestors
— Pages autorisées à embedder cette page (remplace X-Frame-Options).
sandbox
— Sandbox la page (sans valeur = sandbox total).
─ Reporting — Endpoints pour recevoir les rapports de violation.
report-uri
— Endpoint qui reçoit les rapports (déprécié mais encore utilisé).
report-to
— Groupe défini via l'en-tête Reporting-Endpoints.
─ Trusted Types & Other — Directives complémentaires et toggles.
require-trusted-types-for
— Active Trusted Types pour les sinks.
trusted-types
— Politiques Trusted Types autorisées.
— Convertit automatiquement HTTP → HTTPS.
— Bloque tout contenu HTTP sur une page HTTPS (déprécié).
Cobertura
- Fetch directives — las 18 directivas de fetch (script, style, img, connect, font, frame, media, object, manifest, worker, child, prefetch, fenced-frame, +elem/attr).
- Document & nav — base-uri, form-action, frame-ancestors, sandbox.
- Reporting — report-uri (legacy) + report-to (moderno).
- Trusted Types — require-trusted-types-for, trusted-types.
- Modes — Header HTTP / etiqueta meta / Report-Only.
- Live — construcción en directo + botón copy.