เครื่องมือสร้าง CSP

สร้างส่วนหัว Content Security Policy แบบเห็นภาพ

ตัวอย่างการใช้งาน

นโยบายจำกัดพื้นฐาน

นโยบายง่ายๆ ที่อนุญาตเฉพาะทรัพยากรจากโดเมนของคุณเอง พร้อมสไตล์อินไลน์และ data URI สำหรับรูปภาพ

นโยบายรองรับ CDN

นโยบายที่อนุญาตให้โหลดสคริปต์และสไตล์จาก CDN ยอดนิยมเช่น jsDelivr, cdnjs และ Google Fonts

นโยบายความปลอดภัยเข้มงวด

นโยบายที่เข้มงวดสูงที่บล็อกทุกอย่างโดยค่าเริ่มต้น และอนุญาตเฉพาะประเภททรัพยากรเฉพาะจากโดเมนของคุณ

คุณสมบัติ

ตัวสร้างแบบเห็นภาพ

สร้างส่วนหัว CSP แบบเห็นภาพด้วยช่องเลือกและเมนูดรอปดาวน์ ไม่ต้องเขียนไวยากรณ์เอง

การกำหนดค่าเซิร์ฟเวอร์

รับสนิปเพตการกำหนดค่าพร้อมใช้สำหรับ Nginx, Apache และแท็ก meta

การตรวจสอบ CSP

ทดสอบ CSP ของคุณสำหรับปัญหาความปลอดภัยทั่วไปและการละเมิดแนวปฏิบัติที่ดี

ความเป็นส่วนตัวมาก่อน

การประมวลผลทั้งหมดเกิดขึ้นในเบราว์เซอร์ของคุณ ไม่มีข้อมูลถูกส่งไปยังเซิร์ฟเวอร์

วิธีการใช้งาน?

เลือกไดเรกทีฟ

เปิดใช้งานไดเรกทีฟ CSP ที่คุณต้องการและเลือกแหล่งที่มาสำหรับแต่ละรายการโดยใช้ช่องเลือกหรือโดเมนกำหนดเอง

ตรวจสอบผลลัพธ์

ดู CSP ที่สร้างเป็นส่วนหัว HTTP แท็ก meta หรือสนิปเพตการกำหนดค่าเซิร์ฟเวอร์ ทดสอบหาปัญหา

คัดลอกและนำไปใช้

คัดลอก CSP ที่สร้างและเพิ่มลงในการกำหนดค่าเว็บเซิร์ฟเวอร์หรือเอกสาร HTML ของคุณ

คำถามที่พบบ่อย

ถ้าคุณสนใจการป้องกัน XSS ใช่ CSP เป็นการป้องกันฝั่งเบราว์เซอร์ที่มีประสิทธิภาพที่สุดต่อการโจมตีด้วยการฉีดสคริปต์

จริงๆ แล้วไม่ใช่ unsafe-inline ที่ทำให้เกิดปัญหา แต่ตรงข้าม การเอา unsafe-inline ออกจะทำให้สคริปต์อินไลน์และ onclick handler พัง ซึ่งเป็นจุดประสงค์ ใช้ nonce หรือ hash แทน

ไม่ ทุกอย่างทำงานในเบราว์เซอร์ ไม่ส่งไปเซิร์ฟเวอร์หรือเก็บที่ไหน

Content Security Policy คืออะไร?

Content Security Policy (CSP) เป็นเฮดเดอร์ HTTP ที่บอกเบราว์เซอร์ว่าควรเชื่อถือแหล่งเนื้อหาใด คิดว่าเป็นรายการอนุญาต: ถ้าสคริปต์ สไตล์ชีท รูปภาพ หรือฟอนต์ไม่มาจากแหล่งที่อนุมัติ เบราว์เซอร์จะบล็อก เป็นการป้องกันที่แข็งแกร่งที่สุดต่อการโจมตี XSS

ทำไมไวยากรณ์ CSP ถึงยากที่จะเขียนด้วยมือ

เฮดเดอร์ CSP จริงๆ อาจยาวกว่า 500 ตัวอักษรพร้อมไดเรกทีฟหลายสิบตัว เครื่องหมายอัฒภาคผิดที่หนึ่งจุดทำให้ทุกอย่างพัง เครื่องมือนี้ให้อินเทอร์เฟซแบบวิชวลที่สร้างไวยากรณ์ CSP ที่ถูกต้องโดยอัตโนมัติ

ข้อผิดพลาด CSP ที่พบบ่อยที่สุด

ที่ใหญ่ที่สุดคือใช้ unsafe-inline สำหรับสคริปต์ ที่สองคือ origin แบบ wildcard (*) ที่สามคือลืม default-src เครื่องมือนี้มีตัวตรวจสอบในตัวที่ชี้ปัญหาเหล่านี้ทั้งหมด

เริ่มต้นกับ CSP

เริ่มด้วยนโยบายรายงานอย่างเดียวเพื่อดูว่าอะไรจะพังโดยไม่บล็อกอะไร ตรวจสอบรายงาน แก้ไขการละเมิด จากนั้นเปลี่ยนเป็นโหมดบังคับใช้

ความเป็นส่วนตัว

การกำหนดค่า CSP ไม่เคยออกจากเบราว์เซอร์ ไม่มีการเรียกเซิร์ฟเวอร์ ไม่มีการจัดเก็บ ไม่มีการติดตาม

ความปลอดภัยและความเป็นส่วนตัว

ความปลอดภัยของข้อมูลของคุณคือความสำคัญอันดับแรกของเรา

การประมวลผลภายใน

การประมวลผลทั้งหมดเกิดขึ้นในเบราว์เซอร์ของคุณ

ไม่มีการถ่ายโอนข้อมูล

ข้อมูลของคุณจะไม่ถูกส่งไปยังเซิร์ฟเวอร์ของเรา

ไม่มีการจัดเก็บข้อมูล

ไม่มีข้อมูลถูกเก็บหรือแบ่งปัน

การเข้ารหัส SSL

การเข้ารหัส SSL สำหรับการเชื่อมต่อที่ปลอดภัย

เครื่องมือนี้มีประโยชน์หรือไม่?

เครื่องมือสร้าง CSP

ไดเรกทีฟ CSP

ผลลัพธ์ที่สร้าง