首页CSP策略生成器

CSP策略生成器

生成Content-Security-Policy策略,支持指令配置与预设模式,输出Meta标签、响应头与Nuxt配置示例,适用于Web安全加固和XSS防护

CSP策略配置

default-src默认策略
script-src脚本源
style-src样式源
img-src图片源
connect-src接口连接
font-src字体源
frame-srciframe源
media-src音视频源
object-src对象源
其他策略全局增强

生成的CSP策略

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self'; style-src 'self'; img-src 'self' data:; connect-src 'self'; font-src 'self' data:; frame-src 'none'; media-src 'self'; object-src 'none'; upgrade-insecure-requests">
Content-Security-Policy: default-src 'self'; script-src 'self'; style-src 'self'; img-src 'self' data:; connect-src 'self'; font-src 'self' data:; frame-src 'none'; media-src 'self'; object-src 'none'; upgrade-insecure-requests

策略预览

default-src'self'
script-src'self'
style-src'self'
img-src'self' data:
connect-src'self'
font-src'self' data:
frame-src'none'
media-src'self'
object-src'none'
base-uri(未设置)
form-action(未设置)
upgrade-insecure-requests已启用
block-all-mixed-content(未设置)

使用说明

  • default-src 是默认策略,未设置的指令会继承该策略。
  • script-src 与 style-src 建议避免使用 unsafe-inline。
  • 生产环境可先启用 Report-Only 观察违规报告。
  • 逐步收紧策略,确保业务功能正常。

相关工具

CORS配置生成器
CSR生成与查看
Nginx配置生成器
安全令牌生成器
CORS测试
Meta标签生成器
User Agent生成器
CSS渐变生成器

说明文档

CSP 策略生成器是什么

该工具用于可视化生成 Content Security Policy(CSP)策略,帮助你在安全性与可用性之间快速找到合适配置。

主要功能

  • 提供严格、平衡、开发三种预设策略。
  • 按指令维度勾选来源并支持自定义来源输入。
  • 同时生成 Meta 标签、HTTP 响应头与 Nuxt 配置片段。
  • 实时预览各指令状态并支持一键复制。

使用步骤

  1. 先选择一个预设作为起点。
  2. 按资源类型调整 script-srcstyle-src 等指令。
  3. 查看右侧输出并复制所需格式。
  4. 上线前在真实页面验证第三方资源是否被误拦截。

常见问题

为什么策略生效后页面资源加载失败?

通常是未将实际资源域名加入对应指令,例如脚本域名未加入 script-src

应该优先使用 Meta 还是响应头?

生产环境建议优先使用 HTTP 响应头,覆盖面更完整,控制也更稳定。

数据默认在您的本地浏览器上处理,不会上传至服务器。如需上传会明确提示。

© 2026 See-Tool. 保留所有权利。 | 联系站长