CSP Header 生成器
透過常用指令、預設、報告模式和安全檢查生成 Content-Security-Policy 回應 Header。
CSP 策略
指令
策略摘要
Header 名稱Content-Security-Policy
用於生產環境前,請先處理 3 條警告。
指令數3
警告數3
模式正式生效
報告未啟用
實作提示
- 為既有線上站點部署 CSP 時,建議先使用 Report-Only 模式觀察。
- 盡量避免 unsafe-inline 和 unsafe-eval,優先遷移到 nonce 或 hash。
- 正式生效前,根據瀏覽器報告逐步調整 script-src、connect-src、img-src 和 frame-src。
警告
- default-src 為空。建議為未宣告的資源類型設定預設來源。
- object-src 沒有設定為 'none'。除非明確需要外掛資源,否則建議停用。
- 未設定報告位址。正式生效前建議加入報告,便於觀察影響。
生成的 Header
可直接貼到伺服器回應 Header 設定Content-Security-Policy: base-uri 'self'; frame-ancestors 'none'; upgrade-insecure-requests
指令預覽
| 指令 | 值 |
|---|---|
base-uri | 'self' |
frame-ancestors | 'none' |
upgrade-insecure-requests | |