Content Security Policy Generator
Соберите CSP для вашего сайта и получите готовые варианты вывода: заголовок, Apache, Nginx, PHP и HTML meta.
Онлайн генератор Content Security Policy (CSP) это бесплатный инструмент для создания безопасных HTTP-заголовков Content-Security-Policy для сайтов на WordPress, Nginx, Apache, PHP и других платформах.
С помощью генератора вы можете быстро настроить правила загрузки JavaScript, CSS, изображений, шрифтов и iframe-ресурсов, чтобы защитить сайт от XSS-атак, вредоносных скриптов и несанкционированных внешних подключений.
Утилита подходит для системных администраторов, DevOps-инженеров, веб-разработчиков и владельцев сайтов, которым важно повысить уровень безопасности веб-приложений без ручного написания сложных CSP-правил.
Просто выберите тип сайта, разрешённые источники ресурсов и дополнительные параметры безопасности, далее сервис автоматически сформирует готовый CSP header для Nginx, Apache (.htaccess), PHP или HTML meta tag.
Часто задаваемые вопросы (FAQ)
Для чего нужна политика Content Security Policy (CSP)?
CSP это защитный механизм, который сообщает браузеру пользователя, из каких именно источников вашему сайту разрешено загружать и выполнять ресурсы (скрипты, стили, изображения, шрифты). Это полностью предотвращает выполнение стороннего вредоносного кода, даже если злоумышленник смог внедрить его на страницу.
В чём разница между выводом для Nginx/Apache и HTML Meta?
Настройка CSP через серверные заголовки (Nginx, Apache, PHP) является приоритетной и наиболее безопасной. Вариант с HTML Meta удобен, если у вас нет доступа к конфигурации сервера, однако он имеет ограничения, например, в режиме мета-тега не поддерживаются директивы report-uri и фреймы.
Что такое опция «Запретить inline script»?
По умолчанию включенная опция блокирует выполнение любых скриптов, написанных прямо в HTML-коде (внутри тегов <script>) или в атрибутах элементов (например, onclick="..."). Это стандарт безопасности, заставляющий переносить все скрипты в отдельные внешние .js файлы, что исключает XSS-уязвимости.
Как добавить сторонний сервис, которого нет в списке чекбоксов?
Для каждого типа ресурсов (Script, Style, Image, Font, Frame) предусмотрено текстовое поле Custom. Просто введите туда адрес нужного хоста (например, https://api.mycdn.com), и алгоритм автоматически добавит его в соответствующую директиву вашей политики.
Что делает функция «Автоматически переводить HTTP в HTTPS»?
Она активирует директиву upgrade-insecure-requests;. Если на вашем защищенном HTTPS-сайте старые плагины или темы пытаются загрузить картинку или скрипт по небезопасному протоколу HTTP. Тогда браузер пользователя автоматически перепишет этот запрос на HTTPS, предотвращая блокировку контента.
Как внедрить сгенерированный код на сайт?
Выберите нужную вкладку в панели вывода, скопируйте код и вставьте его:
- Для Apache — в начало файла
.htaccess. - Для Nginx — внутрь блока
server {}вашего конфигурационного файла. - Для HTML Meta — в самый верх секции
<head>до загрузки остальных скриптов.



