CSP Builder
Générateur interactif de Content Security Policy (CSP) pour sécuriser vos applications web.
📜 Fetch Directives
📄 Document Directives
🧭 Navigation Directives
📊 Reporting
CSP généré
Analyse
Référence CSP
Valeurs sources
| Valeur | Description |
|---|---|
'self' |
Même origine |
'none' |
Bloque tout |
'unsafe-inline' |
Autorise inline (scripts, styles) |
'unsafe-eval' |
Autorise eval() |
'strict-dynamic' |
Fait confiance aux scripts chargés dynamiquement |
'nonce-xxx' |
Script avec nonce spécifique |
'sha256-xxx' |
Script avec hash spécifique |
https: |
Tout en HTTPS |
data: |
URLs data: |
blob: |
URLs blob: |
*.example.com |
Wildcard domaine |
Directives principales
| Directive | Contrôle |
|---|---|
default-src |
Fallback pour tout |
script-src |
JavaScript |
style-src |
CSS |
img-src |
Images |
font-src |
Polices |
connect-src |
XHR, fetch, WebSocket |
frame-src |
iframes |
object-src |
Plugins (Flash, etc.) |
base-uri |
Element <base> |
form-action |
Soumission formulaires |
frame-ancestors |
Qui peut nous embed |
Exemples
CSP Strict (recommandé)
Content-Security-Policy:
default-src 'none';
script-src 'self' 'nonce-xyz123';
style-src 'self';
img-src 'self';
font-src 'self';
connect-src 'self';
base-uri 'self';
form-action 'self';
frame-ancestors 'none';
object-src 'none';