CSP 建構器 / 檢查器
貼上 Content-Security-Policy,即可立即診斷出危險設定(unsafe-inline、萬用字元等),並提供更嚴格的政策範本。所有處理均在瀏覽器內完成。
全部在你的瀏覽器內處理,輸入絕不會傳送到伺服器。
在上方貼上 CSP 即可查看診斷結果。
嚴格政策範本
請以此為基礎,僅以最小集加入你的網站真正需要的來源。
default-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'none'; script-src 'self'; style-src 'self'; img-src 'self' data:; font-src 'self'; connect-src 'self'; form-action 'self'; upgrade-insecure-requests
使用方法
- 1
從網站的回應標頭中複製 Content-Security-Policy 的值,貼到上方。
- 2
每條指令都會被解析,危險的取值將依嚴重程度列出。
- 3
以下方的「嚴格政策」為起點,僅加入你的網站真正需要的來源。
為什麼重要
CSP 是降低 XSS 危害的多層防禦關鍵一環。但一旦允許 unsafe-inline 或 *,其防護價值將大打折扣。準則是:從嚴格的 default-src 'self' 開始,僅以最小集加入必需的來源。
常見問題
Q貼上的內容會被傳送到任何地方嗎?
A
不會。解析全部在瀏覽器內(JavaScript)完成,你的輸入不會被傳送到伺服器。
Qunsafe-inline 為什麼危險?
A
允許內嵌指令碼/樣式意味著透過 XSS 注入的程式碼也能執行,這會大幅削弱 CSP 的防護效果。應改用 nonce 或 hash 的方式。