Content Security Policy erstellen

Name: Content Security Policy erstellen
Author: Kitmul

Generieren Sie CSP-Header interaktiv mit allen Direktiven, Presets und Ausgabe fur HTTP-Header, Meta-Tags, Nginx, Apache und Express.

Erstellen und konfigurieren Sie Content Security Policy (CSP)-Header visuell mit einem interaktiven Direktiven-Editor. Fugen Sie Quellen pro Direktive hinzu, sehen Sie Ihre Richtlinie live in der Vorschau und exportieren Sie als HTTP-Header, HTML-Meta-Tags oder Nginx-, Apache- oder Express.js-Konfigurationen. Alles wird in Ihrem Browser verarbeitet.

Direktiven

default-src

'self'

Ausgabe

Content-Security-Policy: default-src 'self'

Deine Daten bleiben in deinem Browser

War dieses Tool hilfreich?

Dieses Tool bewerten

Anleitung

So Erstellen Sie einen CSP-Header

Direktiven Wahlen

Beginnen Sie mit default-src und fugen Sie weitere Direktiven wie script-src, style-src oder img-src fur granulare Kontrolle hinzu.

Erlaubte Quellen Hinzufugen

Klicken Sie auf voreingestellte Werte wie 'self' oder 'none', oder geben Sie benutzerdefinierte Domains ein um bestimmte Ursprunge freizugeben.

Richtlinie Exportieren

Wechseln Sie zwischen Ausgabe-Tabs um den CSP als HTTP-Header, Meta-Tag oder Server-Konfigurationsausschnitt zu kopieren.

Guide

Vollstandiger Leitfaden zu Content Security Policy

Warum CSP fur Web-Sicherheit Wichtig Ist

Content Security Policy ist eine der effektivsten Verteidigungen gegen Cross-Site-Scripting (XSS)-Angriffe. Indem Sie genau deklarieren, welche Quellen Skripte, Styles, Bilder und andere Ressourcen laden durfen, erstellen Sie eine Whitelist, die Browser automatisch durchsetzen. Selbst wenn ein Angreifer bosartigen Code in Ihre Seite injiziert, weigert sich der Browser, ihn auszufuhren.

CSP-Direktiven Verstehen

Jede Direktive kontrolliert einen bestimmten Ressourcentyp. Die default-src-Direktive dient als Fallback fur jeden nicht spezifizierten Typ. Die script-src-Direktive regelt JavaScript-Quellen, style-src behandelt CSS und img-src kontrolliert Bilder. Speziellere Direktiven wie connect-src beschranken fetch und XMLHttpRequest, wahrend frame-ancestors bestimmt, welche Seiten Ihre einbetten durfen.

Gangige Quellwerte Erklart

Der Wert 'self' erlaubt Inhalte vom eigenen Ursprung. Der Wert 'none' blockiert alles fur diese Direktive. Fur Inline-Skripte erlaubt 'unsafe-inline' diese, schwacht aber die Sicherheit; bevorzugen Sie Nonce-basierte oder Hash-basierte Ansatze. Der Wert 'strict-dynamic' vertraut Skripten, die von bereits vertrauenswurdigen Skripten geladen werden, und vereinfacht die CDN-Nutzung.

CSP in Produktion Bereitstellen

Beginnen Sie mit Content-Security-Policy-Report-Only um Verstossberichte zu sammeln ohne Funktionalitat zu beeintrachtigen. Analysieren Sie die Berichte, passen Sie Ihre Richtlinie an und wechseln Sie dann zum erzwingenden Header. Verwenden Sie report-uri oder report-to-Direktiven um Verstose an einen Logging-Endpunkt zu senden. Uberwachen Sie regelmasig, da neue Integrationen unerwartete Blockierungen verursachen konnen.

Sources

Examples

CSP-Konfigurationsbeispiele

Einfache Sichere Website

Eine Website, die nur eigene Ressourcen ladt und Google Fonts verwendet.

default-src auf 'self' setzen

font-src auf 'self' fonts.gstatic.com setzen

style-src auf 'self' fonts.googleapis.com setzen

default-src 'self'; font-src 'self' fonts.gstatic.com; style-src 'self' fonts.googleapis.com

E-Commerce mit Analytics

Ein Online-Shop mit Google Analytics, Stripe-Zahlungen und einem CDN fur Bilder.

default-src auf 'self' setzen

script-src auf 'self' www.googletagmanager.com js.stripe.com setzen

connect-src auf 'self' www.google-analytics.com api.stripe.com setzen

img-src auf 'self' cdn.example.com data: setzen

frame-src auf js.stripe.com setzen

default-src 'self'; script-src 'self' www.googletagmanager.com js.stripe.com; connect-src 'self' www.google-analytics.com api.stripe.com; img-src 'self' cdn.example.com data:; frame-src js.stripe.com

Anwendungsfälle

CSP-Anwendungsfalle

Gemischten Inhalt Blockieren

“Setzen Sie default-src auf 'self' und upgrade-insecure-requests um HTTPS fur alle Ressourcen zu erzwingen. Dies verhindert, dass Browser HTTP-Assets auf HTTPS-Seiten laden, eliminiert Warnungen zu gemischtem Inhalt und verbessert die Sicherheitslage.”

Drittanbieter-Skripte Einschranken

“Konfigurieren Sie script-src so, dass nur 'self' und bestimmte CDN-Domains wie cdn.jsdelivr.net erlaubt sind. Dies blockiert Inline-Skripte und unbekannten Drittanbieter-Code und reduziert die Angriffsflache fur Cross-Site-Scripting-Schwachstellen erheblich.”

Iframes Sperren

“Verwenden Sie frame-ancestors 'none' um zu verhindern, dass Ihre Website in Iframes auf anderen Domains eingebettet wird. Dies bietet Clickjacking-Schutz ahnlich wie X-Frame-Options DENY, aber mit mehr Flexibilitat fur das Whitelisting vertrauenswurdiger Eltern.”

Haufig Gestellte Fragen

?Was ist eine Content Security Policy?

CSP ist ein HTTP-Header, der Browsern mitteilt, welche Inhaltsquellen auf Ihrer Seite erlaubt sind und XSS- sowie Dateninjektionsangriffe verhindert.

?Was kontrolliert default-src?

Es dient als Fallback fur alle Ressourcentypen. Wenn eine spezifische Direktive wie script-src nicht gesetzt ist, verwendet der Browser stattdessen default-src.

?Sollte ich 'unsafe-inline' in script-src verwenden?

Vermeiden Sie es wenn moglich, da es Inline-Skripte erlaubt und den XSS-Schutz schwacht. Verwenden Sie Nonces oder Hashes als sicherere Alternativen.

?Kann ich meine CSP vor dem Deployment testen?

Ja. Verwenden Sie zuerst den Content-Security-Policy-Report-Only-Header. Er protokolliert Verstose ohne Ressourcen zu blockieren und ermoglicht sichere Feinabstimmung.

?Was ist der Unterschied zwischen HTTP-Header und Meta-Tag?

Beide liefern dieselbe Richtlinie. Der HTTP-Header ist bevorzugt, da Meta-Tags die Direktiven frame-ancestors und report-uri nicht unterstutzen.

?Sind meine Daten privat?

Ja. Alles lauft lokal in Ihrem Browser. Keine Daten werden an einen Server gesendet. Ihre CSP-Konfiguration verlasst niemals Ihren Rechner.

?Ist dieses Tool kostenlos?

Ja. Vollig kostenlos ohne Limits und ohne Registrierung. Erstellen Sie so viele Richtlinien wie Sie brauchen ohne jegliche Einschrankungen.

Hilf uns besser zu werden

Wie gefällt Ihnen dieses Tool?

Jedes Tool bei Kitmul wird auf Basis echter Nutzeranfragen gebaut. Ihre Bewertung und Ihre Vorschläge helfen uns, Bugs zu beheben, fehlende Funktionen hinzuzufügen und die Tools zu bauen, die Sie wirklich brauchen.

Empfohlene Bucher uber Web-Sicherheit und CSP

Erweitern Sie Ihre Fähigkeiten

Sicherheitstools fur Webentwickler

YubiKey 5 NFC — Hardware-Sicherheitsschlussel fur MFA