CSP Header 生成器
通过常用指令、预设、报告模式和安全检查生成 Content-Security-Policy 响应头。
CSP 策略
指令
策略摘要
Header 名称Content-Security-Policy
用于生产环境前,请先处理 3 条警告。
指令数3
警告数3
模式正式生效
报告未启用
实施提示
- 给已有线上站点部署 CSP 时,建议先使用 Report-Only 模式观察。
- 尽量避免 unsafe-inline 和 unsafe-eval,优先迁移到 nonce 或 hash。
- 正式生效前,根据浏览器报告逐步调准 script-src、connect-src、img-src 和 frame-src。
警告
- default-src 为空。建议为未声明的资源类型设置兜底来源。
- object-src 没有设置为 'none'。除非明确需要插件资源,否则建议禁用。
- 未设置报告地址。正式生效前建议添加报告,便于观察影响。
生成的 Header
可直接粘贴到服务器响应头配置Content-Security-Policy: base-uri 'self'; frame-ancestors 'none'; upgrade-insecure-requests
指令预览
| 指令 | 值 |
|---|---|
base-uri | 'self' |
frame-ancestors | 'none' |
upgrade-insecure-requests | |