Генератор CSP
Визуальное создание заголовков Content Security Policy
Директивы CSP
Сгенерированный вывод
Примеры использования
Базовая ограничительная политика
Простая политика, разрешающая ресурсы только с вашего домена, с инлайн-стилями и data URI для изображений.
CDN-совместимая политика
Политика, разрешающая загрузку скриптов и стилей с популярных CDN: jsDelivr, cdnjs и Google Fonts.
Строгая политика безопасности
Максимально ограничительная политика, блокирующая всё по умолчанию и разрешающая только определённые типы ресурсов с вашего домена.
Возможности
Визуальный конструктор
Создавайте CSP-заголовок визуально с помощью флажков и выпадающих списков, без ручного синтаксиса
Конфигурации серверов
Готовые сниппеты конфигурации для Nginx, Apache и мета-тегов
Валидация CSP
Проверка CSP на распространённые проблемы безопасности и нарушения лучших практик
Конфиденциальность
Вся обработка выполняется локально в вашем браузере, данные не отправляются на сервер
Как пользоваться?
Выберите директивы
Включите нужные CSP-директивы и выберите источники для каждой с помощью флажков или пользовательских доменов.
Просмотрите вывод
Посмотрите сгенерированный CSP как HTTP-заголовок, мета-тег или сниппет серверной конфигурации. Проверьте на проблемы.
Скопируйте и разверните
Скопируйте сгенерированный CSP и добавьте его в конфигурацию веб-сервера или HTML-документ.
Часто задаваемые вопросы
Что такое Content Security Policy?
Content Security Policy (CSP) — это HTTP-заголовок, который указывает браузеру, каким источникам контента доверять. Думайте о нём как о белом списке: если скрипт, стиль, изображение или шрифт не из одобренного источника — браузер его блокирует. Это ваша самая мощная защита от XSS-атак, потому что даже если злоумышленник внедрит вредоносный тег script на страницу, браузер не выполнит его, если источник не в белом списке.
Почему CSP-синтаксис сложно писать вручную
Реальный CSP-заголовок может легко занимать 500+ символов с десятками директив, каждая с несколькими источниками. Одна неверная точка с запятой ломает всё, и полезного сообщения об ошибке нет — браузер молча игнорирует неправильные части. Этот инструмент даёт визуальный интерфейс: флажки, выпадающие списки и поля для доменов, которые автоматически генерируют валидный CSP. Вы получаете вывод для HTTP-заголовков, мета-тегов, Nginx и Apache.
Самые распространённые ошибки CSP
Главная — использование unsafe-inline для скриптов, что фактически отключает защиту от XSS, ради которой CSP и существует. Вторая — использование подстановочного символа (*), который разрешает загрузку с любого домена. Третья — отсутствие default-src, из-за чего неуказанные типы ресурсов остаются без ограничений. В этом инструменте есть встроенный валидатор, который выявляет все эти проблемы до развёртывания.
С чего начать работу с CSP
Начните с политики report-only (Content-Security-Policy-Report-Only), чтобы увидеть, что сломается, не блокируя ничего на самом деле. Мониторьте отчёты, исправляйте нарушения, добавляя легитимные источники, затем переключитесь в режим принудительного выполнения. Инструмент поддерживает оба режима, а пресеты дают стартовые конфигурации для разных уровней безопасности.
Конфиденциальность
Ваша CSP-конфигурация не покидает браузер. Без серверных вызовов, без сохранения, без отслеживания. Инструмент полностью работает на JavaScript.