Онлайн CSP Generator. Конструктор Content Security Policy для защиты сайта

Content Security Policy Generator

Соберите CSP для вашего сайта и получите готовые варианты вывода: заголовок, Apache, Nginx, PHP и HTML meta.

1. Тип сайта

2. Источники ресурсов

Script Sources
Style Sources
Image Sources
Font Sources
Frame Sources

3. Security options

4. Advanced mode

5. Output modes

Content-Security-Policy: default-src 'self'; script-src 'self' https://www.google-analytics.com https://www.googletagmanager.com https://cdn.jsdelivr.net; style-src 'self' https://fonts.googleapis.com; img-src 'self' data: blob:; font-src 'self' https://fonts.gstatic.com; frame-src https://www.youtube.com; object-src 'none'; base-uri 'self'; form-action 'self'; upgrade-insecure-requests; block-all-mixed-content;
Header set Content-Security-Policy "default-src 'self'; script-src 'self' https://www.google-analytics.com https://www.googletagmanager.com https://cdn.jsdelivr.net; style-src 'self' https://fonts.googleapis.com; img-src 'self' data: blob:; font-src 'self' https://fonts.gstatic.com; frame-src https://www.youtube.com; object-src 'none'; base-uri 'self'; form-action 'self'; upgrade-insecure-requests; block-all-mixed-content;"
add_header Content-Security-Policy "default-src 'self'; script-src 'self' https://www.google-analytics.com https://www.googletagmanager.com https://cdn.jsdelivr.net; style-src 'self' https://fonts.googleapis.com; img-src 'self' data: blob:; font-src 'self' https://fonts.gstatic.com; frame-src https://www.youtube.com; object-src 'none'; base-uri 'self'; form-action 'self'; upgrade-insecure-requests; block-all-mixed-content;";
header("Content-Security-Policy: default-src 'self'; script-src 'self' https://www.google-analytics.com https://www.googletagmanager.com https://cdn.jsdelivr.net; style-src 'self' https://fonts.googleapis.com; img-src 'self' data: blob:; font-src 'self' https://fonts.gstatic.com; frame-src https://www.youtube.com; object-src 'none'; base-uri 'self'; form-action 'self'; upgrade-insecure-requests; block-all-mixed-content;");
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' https://www.google-analytics.com https://www.googletagmanager.com https://cdn.jsdelivr.net; style-src 'self' https://fonts.googleapis.com; img-src 'self' data: blob:; font-src 'self' https://fonts.gstatic.com; frame-src https://www.youtube.com; object-src 'none'; base-uri 'self'; form-action 'self'; upgrade-insecure-requests; block-all-mixed-content;">
Сбросить

Онлайн генератор Content Security Policy (CSP) это бесплатный инструмент для создания безопасных HTTP-заголовков Content-Security-Policy для сайтов на WordPress, Nginx, Apache, PHP и других платформах.

С помощью генератора вы можете быстро настроить правила загрузки JavaScript, CSS, изображений, шрифтов и iframe-ресурсов, чтобы защитить сайт от XSS-атак, вредоносных скриптов и несанкционированных внешних подключений.

Утилита подходит для системных администраторов, DevOps-инженеров, веб-разработчиков и владельцев сайтов, которым важно повысить уровень безопасности веб-приложений без ручного написания сложных CSP-правил.

Просто выберите тип сайта, разрешённые источники ресурсов и дополнительные параметры безопасности, далее сервис автоматически сформирует готовый CSP header для Nginx, Apache (.htaccess), PHP или HTML meta tag.

Часто задаваемые вопросы (FAQ)

Для чего нужна политика Content Security Policy (CSP)?

CSP это защитный механизм, который сообщает браузеру пользователя, из каких именно источников вашему сайту разрешено загружать и выполнять ресурсы (скрипты, стили, изображения, шрифты). Это полностью предотвращает выполнение стороннего вредоносного кода, даже если злоумышленник смог внедрить его на страницу.

В чём разница между выводом для Nginx/Apache и HTML Meta?

Настройка CSP через серверные заголовки (Nginx, Apache, PHP) является приоритетной и наиболее безопасной. Вариант с HTML Meta удобен, если у вас нет доступа к конфигурации сервера, однако он имеет ограничения, например, в режиме мета-тега не поддерживаются директивы report-uri и фреймы.

Что такое опция «Запретить inline script»?

По умолчанию включенная опция блокирует выполнение любых скриптов, написанных прямо в HTML-коде (внутри тегов <script>) или в атрибутах элементов (например, onclick="..."). Это стандарт безопасности, заставляющий переносить все скрипты в отдельные внешние .js файлы, что исключает XSS-уязвимости.

Как добавить сторонний сервис, которого нет в списке чекбоксов?

Для каждого типа ресурсов (Script, Style, Image, Font, Frame) предусмотрено текстовое поле Custom. Просто введите туда адрес нужного хоста (например, https://api.mycdn.com), и алгоритм автоматически добавит его в соответствующую директиву вашей политики.

Что делает функция «Автоматически переводить HTTP в HTTPS»?

Она активирует директиву upgrade-insecure-requests;. Если на вашем защищенном HTTPS-сайте старые плагины или темы пытаются загрузить картинку или скрипт по небезопасному протоколу HTTP. Тогда браузер пользователя автоматически перепишет этот запрос на HTTPS, предотвращая блокировку контента.

Как внедрить сгенерированный код на сайт?

Выберите нужную вкладку в панели вывода, скопируйте код и вставьте его:

  • Для Apache — в начало файла .htaccess.
  • Для Nginx — внутрь блока server {} вашего конфигурационного файла.
  • Для HTML Meta — в самый верх секции <head> до загрузки остальных скриптов.
Полезные онлайн-калькуляторы и утилиты для работы и жизни