/ tool · 04
CSP Generator
Construit une Content-Security-Policy complète à partir d'un éditeur visuel — sélectionnez les directives, cochez les keywords, ajoutez vos hôtes, le header se construit en direct.
Importer une policy existante
Récupère une CSP via une URL (lit les en-têtes HTTP + balises <meta>) ou colle directement un header pour pré-remplir l'éditeur.
// Lit Content-Security-Policy, Content-Security-Policy-Report-Only et les balises <meta>.
// Accepte le header brut, juste les directives, ou la balise <meta> complète.
// Aucune directive sélectionnée
ℹ Le mode Meta Tag ne supporte pas frame-ancestors, report-uri, report-to ni sandbox.
Directives
Cliquez sur un keyword pour l'activer. Tapez vos hôtes/URLs séparés par un espace dans le champ libre.
─ Fetch Directives — Sources autorisées par type de ressource récupérée.
default-src
— Fallback pour toutes les autres fetch directives.
script-src
— <script>, eval(), workers inline, event handlers.
script-src-elem
— Restreint uniquement les balises <script>.
script-src-attr
— Event handlers inline (onclick, etc.).
style-src
— <style>, <link rel="stylesheet">, attributs style inline.
style-src-elem
— Restreint <style> et <link rel="stylesheet">.
style-src-attr
— Attributs style inline.
img-src
— <img>, favicon, background-image, etc.
connect-src
— fetch, XHR, WebSocket, EventSource, Beacon.
font-src
— @font-face — sources des fontes.
frame-src
— <frame> et <iframe>.
media-src
— <audio>, <video>, <track>.
object-src
— Plugins (<object>, <embed>) — recommandé : 'none'.
manifest-src
— Web App Manifest.
worker-src
— Web Workers, Service Workers, Shared Workers.
child-src
— Workers + frames (legacy — préférer worker-src + frame-src).
prefetch-src
— <link rel="prefetch"> (déprécié).
fenced-frame-src
— <fencedframe> (Privacy Sandbox).
─ Document & Navigation — Restrictions au niveau document et navigation.
base-uri
— Valeurs autorisées dans <base href>.
form-action
— Cibles de soumission des <form>.
frame-ancestors
— Pages autorisées à embedder cette page (remplace X-Frame-Options).
sandbox
— Sandbox la page (sans valeur = sandbox total).
─ Reporting — Endpoints pour recevoir les rapports de violation.
report-uri
— Endpoint qui reçoit les rapports (déprécié mais encore utilisé).
report-to
— Groupe défini via l'en-tête Reporting-Endpoints.
─ Trusted Types & Other — Directives complémentaires et toggles.
require-trusted-types-for
— Active Trusted Types pour les sinks.
trusted-types
— Politiques Trusted Types autorisées.
— Convertit automatiquement HTTP → HTTPS.
— Bloque tout contenu HTTP sur une page HTTPS (déprécié).
Couverture
- Fetch directives — les 18 directives de fetch (script, style, img, connect, font, frame, media, object, manifest, worker, child, prefetch, fenced-frame, +elem/attr).
- Document & nav — base-uri, form-action, frame-ancestors, sandbox.
- Reporting — report-uri (legacy) + report-to (moderne).
- Trusted Types — require-trusted-types-for, trusted-types.
- Modes — Header HTTP / balise meta / Report-Only.
- Live — construction en direct + bouton copy.