内容安全策略是什么,防的是什么?

内容安全策略(CSP)是一条 HTTP 响应头,告诉浏览器允许从哪些 source 加载脚本、样式、图片、字体等内容。它最主要的活是削弱跨站脚本(XSS):就算攻击者注入了一个 script 标签,像 default-src 'self'; script-src 'self' 这样的策略也会让浏览器拒绝运行任何不是来自你自己源的代码。它同时还能限制表单往哪里提交、哪些站点可以把你的页面嵌进 iframe。

default-src 'self' 到底起什么作用?

default-src 是所有 fetch 类指令的兜底,凡是你没单独列出的指令都回退到它。设成 default-src 'self' 意味着脚本、样式、图片、字体、连接、frame 默认只允许你自己的源(协议、主机、端口都相同),除非更具体的指令覆盖它。所以 default-src 'self'; img-src 'self' data: 表示同源全放行,再额外允许内联的 data: 图片。default-src 一定要设成基线,不设的话没列到的指令等于全放开。

为什么 'unsafe-inline' 危险?

'unsafe-inline' 会让页面执行内联的 script 块和 onclick 这类内联事件处理器,而这恰恰是 XSS 利用的通道。给 script-src 开了它,CSP 的大半防护就没了:被注入的内联脚本照样会跑。安全的替代是给每次请求发一个 nonce('nonce-abc123')或哈希('sha256-...'),只放行你自己写的那几段内联块。style-src 上风险低一些但仍真实存在,内联样式可以借 CSS 把数据偷传出去。

什么时候该用 meta 标签而不是响应头?

优先用响应头。它对整篇文档(包括最初的解析阶段)都生效,而且 frame-ancestors、report-uri/report-to、sandbox 这几个指令只在响应头里管用。这种写法是给那种设不了响应头的静态托管准备的兜底,对上面那几个仅响应头的指令会被忽略,也保护不了标签解析之前就发出的请求。这个生成器两种都给你,按部署环境挑一种。

怎么上线 CSP 才不会把站点搞挂?

先用仅上报模式。发 Content-Security-Policy-Report-Only 加一个 report-to 端点,而不是直接发强制头:浏览器会上报哪些会被拦,但一切照常加载。盯一周上报,把所有合法 source 都补进策略,再把头名字换成 Content-Security-Policy 正式强制。这里的仅上报预设就是这个起点,严格预设则是一个不错的强制目标。

这个和 CSP 审计器有什么区别?

这个生成器是从零开始,用指令开关和预设拼出一条策略,适合你新写 CSP 的时候。CSP 审计器走的是反方向:你把现成策略粘进去,它报出缺口,比如缺 object-src 或者通配符太宽。两者配着用最顺,先在这里拼,出货前把结果丢进审计器过一遍。下面到 CSP 策略审计器的内链就是干这个用的。

给新应用发第一版 CSP

你要上线一个单页应用,想在发布前先有一条基线策略。从严格预设起步, 把 API 源加到 connect-src、把 CDN 加到 script-src,再把响应头一行复制进服务器配置。不到一分钟你就有一条能用的 default-src 'self' 策略,而不是手敲指令、到生产环境才发现拼错了。

给第三方挂件开白名单

市场刚加了一段分析代码和一个聊天挂件,控制台全是 CSP 违规。把挂件的域名粘到对应指令里(JS 进 script-src、它的 API 进 connect-src、嵌 iframe 的话进 frame-src),重新生成,推上更新后的响应头。实时提示会拦着你,别为了把报错消掉就把 script-src 放宽成裸 https: 通配符。

分阶段做仅上报上线

你接手一个到处是内联脚本的老站,不敢冒险搞挂它。用仅上报预设发出 Content-Security-Policy-Report-Only 头,接上一个上报端点,先收一周违规。把每个合法 source 在这里补进策略,等上报安静下来,再把头名字切成强制版本。

给静态托管生成对的写法

你的站点托管在设不了响应头的静态平台上,需要的是 meta 标签那种写法。把策略拼好,复制输出,放进文档 head。meta 输出下面那行提示会告诉你 frame-ancestors 在那里不生效,所以点击劫持你得另想办法挡。

CSP 生成器 - 拼出 Content-Security-Policy 响应头

勾选指令和 source 就生成 Content-Security-Policy,同时给响应头、meta 标签和 Nginx 写法,实时提示 unsafe-inline 风险,全程浏览器本地

本地处理
分类开发运维
适合分享前检查文件类型、大小、元数据和明显不匹配信号。

预设

仅上报模式

上线阶段先观察违规而不拦截

指令

default-src

script-src

style-src

img-src

connect-src

font-src

frame-src

object-src

base-uri

form-action

frame-ancestors

安全提示

未发现高风险 source。

响应头一行

Content-Security-Policy: default-src 'self'; script-src 'self'; style-src 'self'; img-src 'self' data:; connect-src 'self'; font-src 'self'; object-src 'none'; base-uri 'self'; form-action 'self'; frame-ancestors 'none'

HTML <meta> 标签

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self'; style-src 'self'; img-src 'self' data:; connect-src 'self'; font-src 'self'; object-src 'none'; base-uri 'self'; form-action 'self'; frame-ancestors 'none'">

frame-ancestors、report-uri、sandbox 只能用响应头,放进 meta 不生效。

Nginx add_header

add_header Content-Security-Policy "default-src 'self'; script-src 'self'; style-src 'self'; img-src 'self' data:; connect-src 'self'; font-src 'self'; object-src 'none'; base-uri 'self'; form-action 'self'; frame-ancestors 'none'" always;

这个工具能做什么

一个内容安全策略(CSP)生成器,靠勾选而不是靠背语法来拼出响应头。在每条指令上切换 source('self'、'none'、'unsafe-inline'、'unsafe-eval'、 https:、data:),把自己的 CDN 或 API 域名粘进去,策略就实时拼出来。工具一次给出三种可直接用的形式:原始 Content-Security-Policy 响应头一行、 HTML 的 meta http-equiv 标签、Nginx 的 add_header 指令,每种都能一键复制。三个预设覆盖常见起点:只允许同源的严格锁定、放行 jsdelivr 和 unpkg 与 Google 字体的宽松配置、上线前先观察违规的仅上报策略。一旦某个选择削弱了策略,比如给 script-src 开了 'unsafe-inline' 或者用了裸 https: 通配符, 旁边就弹出提示,说清为什么危险、该换成什么。全部在浏览器里运算,不上传任何东西,生成的策略还能通过分享链接原样还原。

工具细节

输入: 文件 + 文本; 页面会根据工具类型展示文本框、数值控件、文件选择或结构化输入。
输出: 即时结果 + 复制; 结果区优先给出可操作结果，支持项会显示复制、下载或可视化预览。
隐私: 浏览器本地处理; 主工具逻辑未发现外部 API 调用，输入通常留在当前标签页内处理。
保存 / 分享: 可分享链接状态; 关键设置会进入 URL，复制链接后别人能复现同一组参数。
性能预算: 首屏 JS ≤ 9 KB; 没有声明 WASM 依赖，适合快速打开和移动端使用。
适用场景: 开发运维 · 程序员; 分类和职业标签用于推荐相关工具、组织内链，并帮助用户快速判断是否适合当前任务。

怎么用

1. 输入

把内容粘贴或拖入工具面板。
2. 处理

点击按钮,在浏览器内本地处理,文件不上传。
3. 复制 / 下载

一键复制结果或下载到本地。

CSP 生成器适合怎么用

适合在上传、交付、归档、客服排查前使用,也适合任何文件离开本机前的本地复核。

适合文件任务

分享前检查文件类型、大小、元数据和明显不匹配信号。
上传、归档、接收或审核前整理混合文件夹。
敏感文件先留在浏览器里处理,不用交给账号型服务。

文件检查项

不要只凭扩展名判断真实文件类型。
文件发给客户、供应商或公开页面前,先看元数据。
复制、转换或导出结果确认前,保留原文件。

下一步可以接着做

这些入口会把当前任务接到更完整的工具链里。

真实使用场景

给新应用发第一版 CSP
你要上线一个单页应用,想在发布前先有一条基线策略。从严格预设起步, 把 API 源加到 connect-src、把 CDN 加到 script-src,再把响应头一行复制进服务器配置。不到一分钟你就有一条能用的 default-src 'self' 策略,而不是手敲指令、到生产环境才发现拼错了。
给第三方挂件开白名单
市场刚加了一段分析代码和一个聊天挂件,控制台全是 CSP 违规。把挂件的域名粘到对应指令里(JS 进 script-src、它的 API 进 connect-src、嵌 iframe 的话进 frame-src),重新生成,推上更新后的响应头。实时提示会拦着你,别为了把报错消掉就把 script-src 放宽成裸 https: 通配符。
分阶段做仅上报上线
你接手一个到处是内联脚本的老站,不敢冒险搞挂它。用仅上报预设发出 Content-Security-Policy-Report-Only 头,接上一个上报端点,先收一周违规。把每个合法 source 在这里补进策略,等上报安静下来,再把头名字切成强制版本。
给静态托管生成对的写法
你的站点托管在设不了响应头的静态平台上,需要的是 meta 标签那种写法。把策略拼好,复制 <meta http-equiv> 输出,放进文档 head。meta 输出下面那行提示会告诉你 frame-ancestors 在那里不生效,所以点击劫持你得另想办法挡。

常见踩坑

为了消掉控制台报错就把 'unsafe-inline' 留在 script-src 上。这等于把 CSP 想堵的 XSS 洞重新打开。该做的是把内联代码挪进文件,或者用每次请求的 nonce、sha256 哈希来授权。
忘了写 default-src,没列出的指令就悄悄全放开。只写 script-src 'self' 的策略,图片、字体、连接照样能从任何地方加载。default-src 'self' 一定要设成基线,再按指令逐条覆盖。
把 frame-ancestors 或 report-uri 放进 meta 标签。这些是仅响应头的指令,浏览器在 meta 里会直接忽略。基本 fetch 指令以外的东西,都要用响应头那种输出。

隐私说明

整个生成器都是在浏览器标签页里跑的纯 JavaScript。指令选择、自定义域名和生成的策略都不离开页面,也不统计你拼了什么。唯一要知道的:分享链接会把策略写进查询字符串,所以把链接粘到聊天里,这些指令会留在对方服务器的访问日志里。CSP 本身不算机密,但如果它暴露了你不想外露的内部资源域, 就用复制按钮,别分享网址。

常见问题

类似工具组合

做你这行的人, 还会一起用这些。

程序员

看这个职业的全部工具

CSP 生成器 - 拼出 Content-Security-Policy 响应头

这个工具能做什么

工具细节

怎么用

1. 输入

2. 处理

3. 复制 / 下载

CSP 生成器 适合怎么用

适合文件任务

文件检查项

下一步可以接着做

真实使用场景

给新应用发第一版 CSP

给第三方挂件开白名单

分阶段做仅上报上线

给静态托管生成对的写法

常见踩坑

隐私说明

常见问题

CSP 策略审计器

HTTP 安全响应头审计器

Meta 标签生成器

robots.txt 生成器

AI Eval 计划生成器

API 密钥生成器

ASCII 表格生成器

ASCII 码表速查

awk + sed 命令速查

AWS CLI 命令速查

备用码生成器

条形码生成器

CSP 生成器适合怎么用