Ücretsiz CSP Oluştürücu - Content Security Policy Aracı

Kullanım Örnekleri

Temel Kısıtlayıcı Politika

Yalnızca kendi alan adınızdan kaynaklara izin veren, satır içi stiller ve resimler için data URI'leri içeren basit bir politika.

CDN Uyumlu Politika

jsDelivr, cdnjs ve Google Fonts gibi popüler CDN'lerden script ve stil yüklemeye izin veren bir politika.

Sıkı Güvenlik Politikası

Varsayılan olarak her şeyi engelleyen ve yalnızca belirli kaynak türlerine kendi alan adınızdan izin veren yüksek düzeyde kısıtlayıcı bir politika.

Özellikler

Görsel Oluştürücu

CSP başlığınızı onay kutuları ve açılır menülerle görsel olarak oluştürün, manuel sözdizimi gerekmez

Sunucu Yapılandırmaları

Nginx, Apache ve meta etiketleri için kullanıma hazır yapılandırma parçacıkları alın

CSP Doğrulama

CSP'nizi yaygın güvenlik sorunları ve en iyi uygulama ihlalleri için test edin

Gizlilik Öncelikli

Tüm işlemler tarayıcınızda yerel olarak gerçekleşir, sunucuya veri gönderilmez

Nasıl Kullanılır?

Direktifleri Seçin

İhtiyacınız olan CSP direktiflerini etkinleştirin ve onay kutuları veya özel alan adları kullanarak her biri için kaynakları seçin.

Çıktıyı İnceleyin

Oluştürülan CSP'nizi HTTP başlığı, meta etiketi veya sunucu yapılandırma parçacığı olarak görüntüleyin. Sorunlar için test edin.

Kopyalayın ve Dağıtın

Oluştürülan CSP'yi kopyalayın ve web sunucu yapılandırmanıza veya HTML belgenize ekleyin.

Sık Sorulan Sorular

XSS koruması istiyorsan evet. CSP, script enjeksiyon saldırılarına karşı en etkili tarayıcı tarafı savunma. Çoğu güvenlik denetimi eksik CSP'yi bulgu olarak raporlar.

Aslında sorun çıkaran o değil - tam tersi. unsafe-inline'ı kaldırmak inline scriptleri ve onclick handler'ları kırar ki zaten amaç bu. Belirli inline kodlara izin vermek için nonce veya hash kullan.

Hayır. Her şey tarayıcında çalışıyor. Sunucuya gönderilmiyor, hiçbir yerde saklanmıyor.

Content Security Policy Nedir?

Content Security Policy (CSP), tarayıcıya hangi içerik kaynaklarına güvenmesi gerektiğini söyleyen bir HTTP başlığı. Bir beyaz liste gibi düşün: bir script, stil, görsel veya font onaylı bir kaynaktan gelmiyorsa tarayıcı engeller. XSS saldırılarına karşı en güçlü savunman bu çünkü bir saldırgan sayfana kötü amaçlı script etiketi enjekte etse bile kaynak beyaz listede değilse tarayıcı çalıştırmaz.

CSP Sözdizimini Elle Yazmak Neden Zor?

Gerçek dünyada bir CSP başlığı kolayca 500+ karakter olabilir, düzinelerce direktif ve her birinde birden fazla kaynak. Yanlış yerleştirilmiş bir noktalı virgül her şeyi bozar ve yardımcı bir hata mesajı almassın - tarayıcı bozuk kısımları sessizce yok sayar. Bu araç sana görsel bir arayüz sunuyor: onay kutuları, açılır menüler ve geçerli CSP sözdizimi otomatik üreten özel alan adı alanları.

En Yaygın CSP Hataları

En büyüğü scriptler için unsafe-inline kullanmak - bu aslında CSP'nin sağlamak için var olduğu XSS korumasını kapatır. İkincisi joker (*) kaynak kullanmak. Üçüncüsü default-src'yi unutmak ki bu belirtilmemiş kaynak türlerinin hiçbir kısıtlaması olmadığı anlamına gelir. Bu araçta deploy etmeden önce tüm bu sorunları işaretleyen yerleşik bir doğrulayıcı var.

CSP'ye Başlamak

Önce report-only politikasıyla başla (Content-Security-Policy-Report-Only) - hiçbir şeyi engellemeden neyin bozulacağını gör. Raporları izle, meşru kaynakları ekleyerek ihlalleri düzelt, sonra uygulama moduna geç. Bu araç her iki modu da destekliyor ve hazır ayarlar farklı güvenlik seviyeleri için yaygın başlangıç yapılandırmaları sunuyor.

Gizlilik

CSP yapılandırman asla tarayıcından çıkmıyor. Sunucu çağrısı yok, depolama yok, takip yok. Araç tamamen JavaScript ile çalışıyor.

Güvenlik ve Gizlilik

Verilerinizin güvenliği bizim önceliğimiz

Yerel İşleme

Tüm işlemler tarayıcınızda gerçekleşir

Veri Transferi Yok

Verileriniz sunucularımıza gönderilmez

Veri Depolama Yok

Hiçbir veri depolanmaz veya paylaşılmaz

SSL Şifreleme

Güvenli bağlantı için SSL şifreleme

CSP Oluştürücu

CSP Oluştürücu

Oluştürülan Çıktı