Idioma
English English Vietnamese (Tiếng Việt) Vietnamese (Tiếng Việt) Chinese (简体中文) Chinese (简体中文) Portuguese (Brazil) (Português do Brasil) Portuguese (Brazil) (Português do Brasil) Spanish (Español) Spanish (Español) Indonesian (Bahasa Indonesia) Indonesian (Bahasa Indonesia)

Crea una cabecera Content-Security-Policy de forma visual con constructor de directivas, plantillas, avisos de seguridad en vivo y salida para Apache, Nginx y PHP.

Generador de CSP Header

Este generador de CSP header crea una cabecera Content-Security-Policy de forma visual, para que controles qué scripts, estilos, imágenes y demás recursos puede cargar un navegador. Activa las directivas que necesites, haz clic en los orígenes en los que confías y la cabecera final aparece al instante, lista para pegar en tu servidor web.

Una Content-Security-Policy es tu primera línea de defensa contra el cross-site scripting (XSS), el clickjacking y otros ataques de inyección. Sin ella, los navegadores cargan recursos desde cualquier origen; con una política ajustada, solo los dominios que permitas pueden servir contenido. Este constructor convierte esa política en una cabecera lista para copiar en el formato exacto que usa tu stack: HTTP en crudo, Apache, Nginx, una etiqueta meta HTML o una llamada header() de PHP.

Privado por diseño: toda la política se arma en tu navegador. Tus directivas, dominios personalizados y la cabecera generada nunca se suben a ningún servidor.

Cómo Usar el Generador de CSP Header

1

Elige un punto de partida

Selecciona una plantilla para cargar una configuración común — Estricta, Sitio Básico, SPA + API, WordPress, E-commerce o CDN — o comienza desde En Blanco para armarla desde cero.

2

Configura las directivas

Activa una directiva haciendo clic en su interruptor o en la fila del encabezado. Luego haz clic en botones rápidos de origen como 'self', 'none' o 'unsafe-inline', o escribe un dominio personalizado como cdn.example.com y haz clic en Agregar. Haz clic en un origen otra vez para quitarlo.

3

Revisa los avisos

A medida que construyes, la herramienta analiza tu política y señala problemas: errores en rojo para riesgos reales como un object-src faltante o un origen comodín, advertencias en amarillo para puntos débiles, y avisos en azul con contexto útil.

4

Elige un formato y copia

Cambia la pestaña de salida a Raw, Apache, Nginx, Meta Tag o PHP según tu servidor, y luego haz clic en Copiar. Activa primero Report-Only para probar la política sin bloquear nada.

Características

Constructor Visual de Directivas

Cada directiva es una fila interactiva con un interruptor. Activa una para mostrar su panel de orígenes con botones de adición rápida y un campo de dominio personalizado.

17 Directivas CSP

Cubre todas las directivas comunes en las categorías Fetch, Documento, Navegación y Otras, desde default-src y script-src hasta frame-ancestors y report-uri.

Botones Rápidos de Origen

Un clic agrega valores comunes: 'self', 'none', 'unsafe-inline', 'unsafe-eval', 'strict-dynamic', data:, blob: y https:.

7 Plantillas

Empieza rápido con configuraciones En Blanco, Estricta, Sitio Básico, SPA + API, WordPress, E-commerce y CDN, pensadas para stacks reales.

Análisis de Seguridad en Tiempo Real

Los avisos en vivo señalan 'unsafe-inline' y 'unsafe-eval' en scripts, un object-src o base-uri faltante, y orígenes comodín que debilitan tu política.

5 Formatos de Salida

Exporta como cabecera HTTP en crudo, directiva de Apache, add_header de Nginx, etiqueta meta HTML o llamada header() de PHP, lo que necesite tu servidor.

Modo Report-Only

Cambia la cabecera a Content-Security-Policy-Report-Only para monitorear violaciones sin bloquear recursos mientras ajustas la política.

Lógica de Orígenes Inteligente

Elegir 'none' borra los demás orígenes porque son mutuamente excluyentes, agregar cualquier origen quita 'none', y los duplicados se evitan automáticamente.

Copia con Un Clic

Copia la cabecera generada al portapapeles con un solo clic y pégala directo en la configuración de tu servidor.

Totalmente del Lado del Cliente

Todo corre en tu navegador, sin llamadas al servidor y sin rastreo, así tu política se queda en tu dispositivo.

Preguntas Frecuentes

¿Qué es una cabecera Content-Security-Policy (CSP)?

Una Content-Security-Policy es una cabecera de respuesta HTTP que le indica al navegador qué orígenes pueden cargar scripts, estilos, imágenes, fuentes y otros recursos en tu página. Es una de las defensas más eficaces contra el cross-site scripting (XSS) y otros ataques de inyección, porque cualquier cosa de un origen que no permitiste queda bloqueada.

¿Cómo creo una cabecera CSP para mi sitio?

Empieza desde una plantilla como Estricta o Sitio Básico, o comienza En Blanco. Activa las directivas que necesites, haz clic o escribe los orígenes en los que confías, y la cabecera se genera sobre la marcha. Luego elige el formato de salida para tu servidor y haz clic en Copiar, sin necesidad de memorizar la sintaxis de las directivas.

¿Debo usar una etiqueta meta CSP o una cabecera de respuesta?

Una cabecera de respuesta es la opción más capaz. La etiqueta HTML <meta> no puede usar el modo Report-Only, no puede definir frame-ancestors ni usar report-uri. Usa la etiqueta meta solo cuando no puedas configurar cabeceras en el servidor; de lo contrario, prefiere la salida de Apache, Nginx o PHP para tener toda la funcionalidad de CSP.

¿Qué significan default-src y script-src?

default-src es el valor por defecto de cualquier directiva de fetch que no definas explícitamente, así que default-src 'self' restringe los tipos de recurso no especificados a tu propio dominio. script-src controla desde dónde puede cargarse el JavaScript, y cualquier directiva que definas explícitamente reemplaza a default-src para ese tipo de recurso.

¿Cómo pruebo CSP sin romper mi sitio?

Activa el modo Report-Only. La herramienta entonces emite una cabecera Content-Security-Policy-Report-Only, que registra las violaciones sin bloquear ningún recurso. Observa los reportes, refina tus orígenes y recién cambia a la cabecera de aplicación Content-Security-Policy cuando la política esté limpia.

¿Es 'unsafe-inline' realmente tan peligroso?

Sí. Permitir 'unsafe-inline' en script-src deja correr cualquier script inline, incluidos los que un atacante inyecte a través de una falla de XSS, lo que anula en gran medida la protección que brinda CSP. El constructor te lo señala. Prefiere nonces o hashes, que permiten scripts inline específicos mientras siguen bloqueando los inyectados.

¿Por qué debo incluir siempre object-src 'none'?

La directiva object-src controla plugins como Flash y los applets de Java, que pueden ejecutar código arbitrario y sortear otras protecciones de CSP. Definir object-src 'none' bloquea todo el contenido de plugins y, dado que los sitios modernos rara vez los necesitan, es un valor por defecto seguro y recomendado; la herramienta avisa cuando falta.

Crea cabeceras Content-Security-Policy de forma visual. Activa directivas, agrega orígenes y copia la cabecera generada para tu servidor web.

Resultado

        
Empieza con una plantilla y ajústala a tus necesidades específicas
Activa el modo Report-Only para probar la política antes de aplicarla
Incluye siempre object-src 'none' para evitar ataques basados en plugins
Agrega base-uri 'self' para evitar la inyección de la etiqueta base
Evita 'unsafe-inline' y 'unsafe-eval' en script-src siempre que puedas
Usa el formato Meta Tag solo cuando no puedas configurar cabeceras en el servidor
¿Quieres aprender más? Leer documentación →
1/7
Comience a escribir para buscar...
Buscando...
No se encontraron resultados
Pruebe con otras palabras clave