Generador de CSP
Genera encabezados Content Security Policy visualmente
Directivas CSP
Salida Generada
Ejemplos de Uso
Política Básica Restrictiva
Una política simple que solo permite recursos de tu propio dominio, con estilos en línea y URIs de datos para imágenes.
Política Compatible con CDN
Una política que permite cargar scripts y estilos desde CDNs populares como jsDelivr, cdnjs y Google Fonts.
Política de Seguridad Estricta
Una política altamente restrictiva que bloquea todo por defecto y solo permite tipos de recursos específicos desde tu dominio.
Características
Constructor Visual
Construye tu encabezado CSP visualmente con casillas y menús desplegables, sin sintaxis manual
Configuraciones de Servidor
Obtén fragmentos de configuración listos para usar para Nginx, Apache y etiquetas meta
Validación de CSP
Prueba tu CSP en busca de problemas de seguridad comunes y violaciones de mejores prácticas
Privacidad Primero
Todo el procesamiento ocurre localmente en tu navegador, sin enviar datos a servidores
¿Cómo Usar?
Seleccionar Directivas
Activa las directivas CSP que necesites y elige fuentes para cada una usando casillas o dominios personalizados.
Revisar Salida
Visualiza tu CSP generado como encabezado HTTP, etiqueta meta o fragmento de configuración de servidor. Pruébalo en busca de problemas.
Copiar y Desplegar
Copia el CSP generado y agrégalo a la configuración de tu servidor web o documento HTML.
Preguntas Frecuentes
Que es Content Security Policy?
Content Security Policy (CSP) es un encabezado HTTP que le dice al navegador en que fuentes de contenido confiar. Piensalo como una lista blanca: si un script, hoja de estilo, imagen o fuente no viene de una fuente aprobada, el navegador lo bloquea. Es tu defensa mas fuerte contra ataques XSS, porque incluso si un atacante inyecta una etiqueta script maliciosa, el navegador no la ejecutara si la fuente no esta en la lista.
Por que la sintaxis CSP es dolorosa de escribir a mano
Un encabezado CSP del mundo real puede tener facilmente 500+ caracteres con docenas de directivas. Un punto y coma mal colocado rompe todo, y no hay mensaje de error util. Esta herramienta te da una interfaz visual: casillas, menus desplegables y campos de dominio personalizado que generan sintaxis CSP valida automaticamente.
Los errores CSP mas comunes
El mas grande es usar unsafe-inline para scripts - esencialmente desactiva la proteccion XSS que CSP existe para proporcionar. El segundo es usar origen comodin (*). El tercero es olvidar default-src. Esta herramienta tiene un validador integrado que senala todos estos problemas antes de desplegar.
Empezando con CSP
Empieza con una politica de solo reporte (Content-Security-Policy-Report-Only) para ver que se romperia sin bloquear nada. Monitorea los reportes, corrige las violaciones agregando fuentes legitimas, luego cambia al modo de aplicacion.
Privacidad
Tu configuracion CSP nunca sale de tu navegador. Sin llamadas al servidor, sin almacenamiento, sin seguimiento.