CSP Header 生成器

透過常用指令、預設、報告模式和安全檢查生成 Content-Security-Policy 回應 Header。

CSP 策略

策略摘要

Header 名稱Content-Security-Policy

用於生產環境前,請先處理 3 條警告。

指令數3
警告數3
模式正式生效
報告未啟用

實作提示

  • 為既有線上站點部署 CSP 時,建議先使用 Report-Only 模式觀察。
  • 盡量避免 unsafe-inline 和 unsafe-eval,優先遷移到 nonce 或 hash。
  • 正式生效前,根據瀏覽器報告逐步調整 script-src、connect-src、img-src 和 frame-src。

警告

  • default-src 為空。建議為未宣告的資源類型設定預設來源。
  • object-src 沒有設定為 'none'。除非明確需要外掛資源,否則建議停用。
  • 未設定報告位址。正式生效前建議加入報告,便於觀察影響。

生成的 Header

可直接貼到伺服器回應 Header 設定
Content-Security-Policy: base-uri 'self'; frame-ancestors 'none'; upgrade-insecure-requests

指令預覽

指令
base-uri'self'
frame-ancestors'none'
upgrade-insecure-requests