CSP Header 生成器

通过常用指令、预设、报告模式和安全检查生成 Content-Security-Policy 响应头。

CSP 策略

策略摘要

Header 名称Content-Security-Policy

用于生产环境前,请先处理 3 条警告。

指令数3
警告数3
模式正式生效
报告未启用

实施提示

  • 给已有线上站点部署 CSP 时,建议先使用 Report-Only 模式观察。
  • 尽量避免 unsafe-inline 和 unsafe-eval,优先迁移到 nonce 或 hash。
  • 正式生效前,根据浏览器报告逐步调准 script-src、connect-src、img-src 和 frame-src。

警告

  • default-src 为空。建议为未声明的资源类型设置兜底来源。
  • object-src 没有设置为 'none'。除非明确需要插件资源,否则建议禁用。
  • 未设置报告地址。正式生效前建议添加报告,便于观察影响。

生成的 Header

可直接粘贴到服务器响应头配置
Content-Security-Policy: base-uri 'self'; frame-ancestors 'none'; upgrade-insecure-requests

指令预览

指令
base-uri'self'
frame-ancestors'none'
upgrade-insecure-requests