CSP ヘッダー生成ツール
Content Security Policy ヘッダーを視覚的に設定・生成。XSS・インジェクション攻撃を防ぐWebセキュリティの必須設定。
テンプレート:
ディレクティブ設定
未指定の全ディレクティブのフォールバック値
'self'
JavaScript のロード元を制限
'self'
CSS のロード元を制限
'self''unsafe-inline'
画像のロード元を制限
'self'data:https:
フォントのロード元を制限
'self'
fetch/XHR/WebSocketの接続先を制限
'self'
動画・音声のロード元を制限
プラグイン(Flash等)のロード元を制限
'none'
iframe/frame のロード元を制限
Web Worker のロード元を制限
Webアプリマニフェストのロード元を制限
フォーム送信先のURLを制限
'self'
このページをiframeに埋め込めるサイトを制限
'none'
<base>タグのURLを制限
'self'
HTTP URLをHTTPSに自動変換
混在コンテンツ(HTTP+HTTPS)をブロック
CSP違反レポートの送信先URL(非推奨、report-toを推奨)
CSP違反レポートの送信先グループ名
生成されたCSPヘッダー
Content-Security-Policy:
default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self'; connect-src 'self'; object-src 'none'; form-action 'self'; frame-ancestors 'none'; base-uri 'self'; upgrade-insecure-requestsHTML <meta> タグ
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self'; connect-src 'self'; object-src 'none'; form-action 'self'; frame-ancestors 'none'; base-uri 'self'; upgrade-insecure-requests">バリデーション
問題なし
CSPキーワード一覧
'self'同一オリジンのみ許可'none'すべてブロック'unsafe-inline'インラインスクリプト/スタイルを許可(非推奨)'unsafe-eval'eval()などを許可(非推奨)'strict-dynamic'動的生成スクリプトを信頼'nonce-VALUE'特定のnonceを持つ要素のみ許可'sha256-HASH'ハッシュが一致する要素のみ許可https:HTTPS経由のすべて許可data:data: URIを許可*全ホストを許可(非推奨)