Gerador de Header CSP

O que é um Gerador de Cabeçalho CSP?

Um gerador de cabeçalho Content Security Policy (CSP) ajuda você a construir o cabeçalho de resposta HTTP Content-Security-Policy. CSP é um padrão de segurança que previne cross-site scripting (XSS), injeção de dados e outros ataques de injeção de código, especificando quais fontes de conteúdo o navegador deve confiar.

Como Usar Este Gerador de CSP

1. Habilite as diretivas que você precisa usando as caixas de seleção.
2. Insira as fontes permitidas para cada diretiva (ex.: 'self', https://cdn.example.com).
3. Clique em "Gerar Cabeçalho CSP" para construir a string completa do cabeçalho.
4. Copie o resultado e adicione à configuração do seu servidor ou meta tag.

Valores Comuns de Fonte CSP

Valores frequentemente usados incluem 'self' (mesma origem), 'none' (bloquear tudo), 'unsafe-inline' (permitir scripts/estilos inline), 'unsafe-eval' (permitir eval), data: (permitir URIs de dados) e URLs de domínios específicos. Combinar múltiplas fontes por diretiva oferece controle granular sobre o que o navegador pode carregar.

Perguntas Frequentes

O que acontece se eu não definir um default-src?

Sem default-src, diretivas não especificadas não terão restrição. É uma boa prática definir default-src 'self' como fallback, e então sobrescrever diretivas específicas conforme necessário.

Posso usar CSP com uma meta tag em vez de um cabeçalho HTTP?

Sim, você pode adicionar <meta http-equiv="Content-Security-Policy" content="..."> no head do seu HTML. No entanto, algumas diretivas como frame-ancestors só funcionam como cabeçalhos HTTP.