Kostenlos CSP-Generator - Content Security Policy

Anwendungsbeispiele

Grundlegende restriktive Richtlinie

Eine einfache Richtlinie, die nur Ressourcen von Ihrer eigenen Domain erlaubt, mit Inline-Styles und Data-URIs für Bilder.

CDN-freundliche Richtlinie

Eine Richtlinie, die das Laden von Skripten und Styles von beliebten CDNs wie jsDelivr, cdnjs und Google Fonts erlaubt.

Strenge Sicherheitsrichtlinie

Eine hochrestriktive Richtlinie, die standardmäßig alles blockiert und nur bestimmte Ressourcentypen von Ihrer Domain erlaubt.

Funktionen

Visueller Builder

Erstellen Sie Ihren CSP-Header visuell mit Kontrollkästchen und Dropdown-Menüs, keine manuelle Syntax erforderlich

Serverkonfigurationen

Erhalten Sie einsatzbereite Konfigurationssnippets für Nginx, Apache und Meta-Tags

CSP-Validierung

Testen Sie Ihre CSP auf häufige Sicherheitsprobleme und Verstöße gegen Best Practices

Datenschutz zuerst

Die gesamte Verarbeitung erfolgt lokal in Ihrem Browser, keine Daten werden an Server gesendet

Wie benutzt man es?

Direktiven auswählen

Aktivieren Sie die benötigten CSP-Direktiven und wählen Sie Quellen für jede einzelne über Kontrollkästchen oder benutzerdefinierte Domains.

Ausgabe überprüfen

Sehen Sie Ihre generierte CSP als HTTP-Header, Meta-Tag oder Serverkonfigurations-Snippet. Testen Sie auf Probleme.

Kopieren und Bereitstellen

Kopieren Sie die generierte CSP und fügen Sie sie Ihrer Webserver-Konfiguration oder Ihrem HTML-Dokument hinzu.

Häufig gestellte Fragen

Wenn Ihnen XSS-Schutz wichtig ist, ja. CSP ist die effektivste browserseitige Verteidigung gegen Script-Injection-Angriffe.

Tut es nicht - es ist umgekehrt. Das Entfernen von unsafe-inline bricht Inline-Skripte und onclick-Handler, was genau der Sinn ist. Verwenden Sie Nonces oder Hashes.

Nein. Alles laeuft in Ihrem Browser. Nichts wird an einen Server gesendet oder irgendwo gespeichert.

Was ist Content Security Policy?

Content Security Policy (CSP) ist ein HTTP-Header, der dem Browser mitteilt, welchen Inhaltsquellen er vertrauen soll. Stellen Sie es sich als Whitelist vor: Wenn ein Script, Stylesheet, Bild oder Font nicht von einer genehmigten Quelle stammt, blockiert der Browser es. Das ist Ihre staerkste Verteidigung gegen XSS-Angriffe.

Warum CSP-Syntax von Hand schreiben muehsam ist

Ein realer CSP-Header kann leicht 500+ Zeichen mit Dutzenden Direktiven umfassen. Ein falsch platziertes Semikolon bricht alles, und es gibt keine hilfreiche Fehlermeldung. Dieses Tool gibt Ihnen eine visuelle Oberflaeche: Checkboxen, Dropdowns und Domain-Felder die automatisch gueltige CSP-Syntax generieren.

Die haeufigsten CSP-Fehler

Der groesste ist unsafe-inline fuer Scripts zu verwenden - das schaltet im Wesentlichen den XSS-Schutz ab. Der zweite ist Wildcard (*) Origin. Der dritte ist default-src zu vergessen. Dieses Tool hat einen integrierten Validator, der all diese Probleme vor dem Deployment markiert.

Einstieg mit CSP

Beginnen Sie mit einer Report-Only-Policy (Content-Security-Policy-Report-Only), um zu sehen was brechen wuerde, ohne tatsaechlich etwas zu blockieren. Ueberwachen Sie die Berichte, beheben Sie Verstoesse durch Hinzufuegen legitimer Quellen, dann wechseln Sie in den Enforcement-Modus.

Datenschutz

Ihre CSP-Konfiguration verlaesst nie Ihren Browser. Keine Server-Aufrufe, keine Speicherung, kein Tracking.

Sicherheit und Datenschutz

Ihre Datensicherheit ist unsere Priorität

Lokale Verarbeitung

Alle Verarbeitung erfolgt in Ihrem Browser

Keine Datenübertragung

Ihre Daten werden nicht an unsere Server gesendet

Keine Datenspeicherung

Es werden keine Daten gespeichert oder geteilt

SSL-Verschlüsselung

SSL-Verschlüsselung für sichere Verbindung

CSP-Generator

CSP-Direktiven

Generierte Ausgabe