CSP-Generator
Content-Security-Policy zusammenklicken.
Wähle je Direktive die erlaubten Quellen. Leere Direktiven werden weggelassen.
| Direktive | Schlüsselwörter / Schemata | Hosts (Leerzeichen-getrennt) |
|---|
Manche Direktiven (z. B. frame-ancestors) wirken nur als HTTP-Header, nicht im <meta>-Tag. Verarbeitung erfolgt vollständig lokal.
Über dieses Tool
Der CSP-Generator hilft dir, eine Content-Security-Policy zusammenzustellen, ohne die Syntax auswendig zu kennen. Du waehlst pro Direktive wie default-src, script-src oder img-src die erlaubten Quellen und erhaeltst den fertigen Header.
Eine gute CSP ist eine der wirksamsten Massnahmen gegen Cross-Site-Scripting und Daten-Exfiltration, weil sie die erlaubten Herkuenfte fuer Skripte, Stile und weitere Ressourcen streng begrenzt.
Tipp: Vermeide unsafe-inline und unsafe-eval und setze stattdessen auf Nonces oder Hashes. Rolle eine neue Policy zuerst mit Content-Security-Policy-Report-Only aus, um nichts zu zerschiessen. Ob die CSP greift, prueft der HTTP-Header-Scan, Integritaetshashes liefert der SRI-Hash.
Häufige Fragen
Ist „CSP-Generator" kostenlos?
Ja, alle Tools auf oen.de sind kostenlos und ohne Anmeldung nutzbar.
Werden meine Daten gesendet?
Nein. Dieses Tool arbeitet vollständig lokal in deinem Browser – es werden keine Eingaben an den Server gesendet.
Brauche ich ein Konto?
Nein. Ein optionales, kostenloses Konto bietet zusätzlich Favoriten und einen persönlichen Verlauf.