CSP策略生成器
生成Content-Security-Policy策略,支持指令配置与预设模式,输出Meta标签、响应头与Nuxt配置示例,适用于Web安全加固和XSS防护
CSP策略配置
default-src默认策略
script-src脚本源
style-src样式源
img-src图片源
connect-src接口连接
font-src字体源
frame-srciframe源
media-src音视频源
object-src对象源
其他策略全局增强
生成的CSP策略
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self'; style-src 'self'; img-src 'self' data:; connect-src 'self'; font-src 'self' data:; frame-src 'none'; media-src 'self'; object-src 'none'; upgrade-insecure-requests">
Content-Security-Policy: default-src 'self'; script-src 'self'; style-src 'self'; img-src 'self' data:; connect-src 'self'; font-src 'self' data:; frame-src 'none'; media-src 'self'; object-src 'none'; upgrade-insecure-requests
策略预览
default-src'self'
script-src'self'
style-src'self'
img-src'self' data:
connect-src'self'
font-src'self' data:
frame-src'none'
media-src'self'
object-src'none'
base-uri(未设置)
form-action(未设置)
upgrade-insecure-requests已启用
block-all-mixed-content(未设置)
使用说明
- default-src 是默认策略,未设置的指令会继承该策略。
- script-src 与 style-src 建议避免使用 unsafe-inline。
- 生产环境可先启用 Report-Only 观察违规报告。
- 逐步收紧策略,确保业务功能正常。
使用文档
什么是 CSP 策略生成器
CSP(Content Security Policy)用于限制浏览器可加载资源的来源,降低 XSS 与数据注入风险。本工具帮助生成可直接部署的策略字符串与示例配置。
工具亮点
- 提供严格、平衡、开发三种预设模式。
- 支持常用指令勾选与自定义源配置。
- 输出 Meta 标签、响应头与 Nuxt 配置示例。
- 实时预览各指令的生效来源。
使用步骤
- 选择预设模式或逐项配置指令。
- 补充自定义源并确认是否允许 unsafe 选项。
- 复制响应头或 Meta 标签部署到站点。
- 上线后结合报告与业务情况逐步收紧策略。
安全建议
- 生产环境优先使用响应头配置,效果优于 Meta 标签。
- 避免在生产环境使用 unsafe-inline 与 unsafe-eval。
- 第三方脚本建议使用 nonce 或 hash 校验。
- 静态资源尽量集中到可信域名或 CDN。