CSP Generator

Content Security Policy Header zusammenstellen und als HTTP-Header oder Meta-Tag exportieren.

Methodik & Funktionsweise

Was wird geprueft?

Erstellt einen Content Security Policy (CSP) Header für Ihre Website.

Wie funktioniert es?

Über einen Direktiven-Builder konfigurieren Sie erlaubte Quellen für Scripts, Styles, Bilder und weitere Ressourcentypen. Daraus wird die CSP-Header-Syntax generiert.

Beispiel-Ergebnis

Ergebnis: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'; img-src *

default-src

script-src

style-src

img-src

font-src

connect-src

media-src

frame-src

object-src

base-uri

form-action

frame-ancestors

upgrade-insecure-requestsblock-all-mixed-content

CSP Policy

Noch keine Direktiven konfiguriert.

HTTP Header

Content-Security-Policy:

HTML Meta-Tag

Was ist eine Content Security Policy (CSP)?

Eine Content Security Policy (CSP) ist ein HTTP-Header, der dem Browser mitteilt, von welchen Quellen Ressourcen (Scripts, Styles, Bilder, Fonts) geladen werden dürfen. CSP ist einer der wichtigsten Schutzmechanismen gegen Cross-Site-Scripting (XSS): Selbst wenn ein Angreifer schadhaften Code injiziert, blockiert der Browser die Ausführung, wenn die Quelle nicht in der CSP erlaubt ist. Unser CSP-Generator erstellt den Header über einen visuellen Direktiven-Builder mit Vorschau der generierten Policy.

CSP Best Practices

1Beginnen Sie mit Content-Security-Policy-Report-Only, um keine Funktionalität zu brechen.
2Vermeiden Sie unsafe-inline für script-src – nutzen Sie stattdessen Nonces oder Hashes.
3Definieren Sie default-src als Fallback für alle nicht explizit genannten Direktiven.
4Testen Sie die CSP gründlich – zu restriktive Policies können die Website unbenutzbar machen.