CSP 构建器 / 检查器
粘贴 Content-Security-Policy,即可立即诊断出危险配置(unsafe-inline、通配符等),并给出更严格的策略模板。所有处理均在浏览器内完成。
全部在你的浏览器内处理,输入绝不会发送到服务器。
在上方粘贴 CSP 即可查看诊断结果。
严格策略模板
请以此为基础,仅以最小集添加你的站点真正需要的来源。
default-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'none'; script-src 'self'; style-src 'self'; img-src 'self' data:; font-src 'self'; connect-src 'self'; form-action 'self'; upgrade-insecure-requests
使用方法
- 1
从站点的响应头中复制 Content-Security-Policy 的值,粘贴到上方。
- 2
每条指令都会被解析,危险的取值将按严重程度列出。
- 3
以下方的「严格策略」为起点,仅添加你的站点真正需要的来源。
为什么重要
CSP 是降低 XSS 危害的多层防御关键一环。但一旦允许 unsafe-inline 或 *,其防护价值将大打折扣。准则是:从严格的 default-src 'self' 开始,仅以最小集添加必需的来源。
常见问题
Q粘贴的内容会被发送到任何地方吗?
A
不会。解析全部在浏览器内(JavaScript)完成,你的输入不会被发送到服务器。
Qunsafe-inline 为什么危险?
A
允许内联脚本/样式意味着通过 XSS 注入的代码也能执行,这会大幅削弱 CSP 的防护效果。应改用 nonce 或 hash 的方式。