Was ist ein CSP-Header-Generator?
Ein Content Security Policy (CSP) Header-Generator hilft Ihnen beim Erstellen des Content-Security-Policy HTTP-Response-Headers. CSP ist ein Sicherheitsstandard, der Cross-Site-Scripting (XSS), Dateninjektionen und andere Code-Injektionsangriffe verhindert, indem er angibt, welchen Inhaltsquellen der Browser vertrauen sollte.
So verwenden Sie diesen CSP-Generator
- Aktivieren Sie die benötigten Direktiven mit den Kontrollkästchen.
- Geben Sie die zulässigen Quellen für jede Direktive ein (z. B.
'self',https://cdn.example.com). - Klicken Sie auf „CSP-Header generieren", um die vollständige Header-Zeichenfolge zu erstellen.
- Kopieren Sie das Ergebnis und fügen Sie es in Ihre Serverkonfiguration oder ein Meta-Tag ein.
Häufige CSP-Quellwerte
Häufig verwendete Werte sind 'self' (gleicher Ursprung), 'none' (alles blockieren), 'unsafe-inline' (Inline-Skripts/Styles zulassen), 'unsafe-eval' (eval zulassen), data: (Daten-URIs zulassen) und spezifische Domain-URLs. Durch die Kombination mehrerer Quellen pro Direktive erhalten Sie eine detaillierte Kontrolle über das, was der Browser laden kann.
Häufig gestellte Fragen
Was passiert, wenn ich keine default-src setze?
Ohne default-src haben nicht festgelegte Direktiven keine Einschränkung. Es ist Best Practice, default-src 'self' als Fallback zu setzen und dann bei Bedarf spezifische Direktiven zu überschreiben.
Kann ich CSP mit einem Meta-Tag statt einem HTTP-Header verwenden?
Ja, Sie können <meta http-equiv="Content-Security-Policy" content="..."> in Ihrem HTML-Kopf hinzufügen. Allerdings funktionieren einige Direktiven wie frame-ancestors nur als HTTP-Header.