Qu'est-ce qu'un générateur d'en-tête CSP ?
Un générateur d'en-tête Content Security Policy (CSP) vous aide à construire l'en-tête de réponse HTTP Content-Security-Policy. CSP est une norme de sécurité qui prévient les attaques par script intersite (XSS), l'injection de données et autres attaques par injection de code en spécifiant les sources de contenu de confiance du navigateur.
Comment utiliser ce générateur CSP
- Activez les directives dont vous avez besoin en utilisant les cases à cocher.
- Entrez les sources autorisées pour chaque directive (par exemple,
'self',https://cdn.example.com). - Cliquez sur « Générer l'en-tête CSP » pour construire la chaîne d'en-tête complète.
- Copiez le résultat et ajoutez-le à votre configuration de serveur ou balise meta.
Valeurs courantes des sources CSP
Les valeurs fréquemment utilisées incluent 'self' (même origine), 'none' (bloquer tout), 'unsafe-inline' (autoriser les scripts/styles inline), 'unsafe-eval' (autoriser eval), data: (autoriser les URI de données), et les URL de domaine spécifiques. La combinaison de plusieurs sources par directive permet un contrôle granulaire sur ce que le navigateur peut charger.
Questions fréquemment posées
Que se passe-t-il si je ne définis pas default-src ?
Sans default-src, les directives non spécifiées n'ont aucune restriction. Il est recommandé de définir default-src 'self' comme solution de secours, puis de remplacer les directives spécifiques selon vos besoins.
Puis-je utiliser CSP avec une balise meta au lieu d'un en-tête HTTP ?
Oui, vous pouvez ajouter <meta http-equiv="Content-Security-Policy" content="..."> dans votre en-tête HTML. Cependant, certaines directives comme frame-ancestors ne fonctionnent que comme en-têtes HTTP.