線上 CSP 產生與解析工具,支援常見指令、安全風險提示與標準化 Header 輸出。所有處理都在瀏覽器本地完成。
指令清單
CSP 輸出
常用來源: 'self' /
https: /
data: /
blob: /
'none' /
'unsafe-inline' /
'nonce-...' /
'sha256-...'
使用說明
使用說明
- 產生器模式:點擊「新增指令」來建立 CSP 策略,支援常用來源快速選擇。
- 解析模式:貼上既有 CSP Header,工具會解析並驗證內容。
- 點擊「複製 CSP」即可取得標準化 Content-Security-Policy 字串。
- 支援將解析結果一鍵套用回產生器繼續調整。
提示 / 風險
- CSP(Content Security Policy)是防禦 XSS 攻擊的重要機制。
- 建議盡量避免使用 'unsafe-inline' 與 'unsafe-eval'。
- 本工具完全在本地執行,不會上傳您的 CSP 設定。
