İçeriğe geç
uxTools
Güvenlik & Kripto

CSP Üretici

Tam CSP Level 3 direktif kapsamı, kaynak chip'leri, nonce üretici, tarayıcı içi SHA-256/384/512 hash yardımcısı, şablonlar (strict, Stripe, Sentry, Google), yapıştırılan politikalar için ciddiyet derecelendirmeli sorun analizleri ve Helmet / Next / Nginx / Apache / meta etiketi için parçalar.

Sablonlar

Mantikli bir baslangictan basla, sonra ozellestir.

default-srcFallback for fetch directives that are not otherwise set.
'self'
script-srcSources for JavaScript (and other script-like) execution.

Henuz kaynak yok. Direktif default-src'ye dusecek.

Nonce'u <script nonce=…> tag'larina aktarmayi unutma.
script-src-elemSources allowed for <script> elements.

Henuz kaynak yok. Direktif default-src'ye dusecek.

Nonce'u <script nonce=…> tag'larina aktarmayi unutma.
script-src-attrSources allowed for inline event handlers like onclick.

Henuz kaynak yok. Direktif default-src'ye dusecek.

Nonce'u <script nonce=…> tag'larina aktarmayi unutma.
style-srcSources for stylesheets — <style>, <link rel=stylesheet>, etc.

Henuz kaynak yok. Direktif default-src'ye dusecek.

Nonce'u <script nonce=…> tag'larina aktarmayi unutma.
style-src-elemSources allowed for <style> and <link rel=stylesheet>.

Henuz kaynak yok. Direktif default-src'ye dusecek.

Nonce'u <script nonce=…> tag'larina aktarmayi unutma.
style-src-attrSources allowed for inline style attributes.

Henuz kaynak yok. Direktif default-src'ye dusecek.

Nonce'u <script nonce=…> tag'larina aktarmayi unutma.
img-srcSources for images, including favicons and srcset.

Henuz kaynak yok. Direktif default-src'ye dusecek.

font-srcSources for fonts loaded via @font-face.

Henuz kaynak yok. Direktif default-src'ye dusecek.

connect-srcEndpoints reachable via fetch, XHR, WebSocket, EventSource.

Henuz kaynak yok. Direktif default-src'ye dusecek.

media-srcSources for <audio>, <video> and <track>.

Henuz kaynak yok. Direktif default-src'ye dusecek.

object-srcSources for <object>, <embed> and <applet>. Use 'none'.
'none'
child-srcSources for web workers and nested frames. Replaced by worker-src + frame-src.

Henuz kaynak yok. Direktif default-src'ye dusecek.

frame-srcSources permitted inside <frame> and <iframe>.

Henuz kaynak yok. Direktif default-src'ye dusecek.

worker-srcSources for Worker, SharedWorker and ServiceWorker scripts.

Henuz kaynak yok. Direktif default-src'ye dusecek.

manifest-srcSources for the application manifest file.

Henuz kaynak yok. Direktif default-src'ye dusecek.

prefetch-srcSources for prefetched / prerendered resources (deprecated).

Henuz kaynak yok. Direktif default-src'ye dusecek.

base-uriAllowed values for the document's <base> element.
'self'
sandboxApplies sandbox restrictions to the document.

Henuz kaynak yok. Direktif default-src'ye dusecek.

Olusturulan header

Bu degeri origin sunucuna, edge'e veya middleware'e kopyala.

105 BTipik header boyut limitleri icinde.
Tek satir
default-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'self'; upgrade-insecure-requests
Cok satirli
default-src 'self';
object-src 'none';
base-uri 'self';
frame-ancestors 'self';
upgrade-insecure-requests

Policy degerlendirmesi

0 severe · 0 warnings · 0 hints · 1 good

object-srcobject-src 'none' is set — legacy plug-in vectors are disabled.