Gerador de CSP Header
Este gerador de CSP header monta um cabeçalho Content-Security-Policy de forma visual, para que você controle quais scripts, estilos, imagens e outros recursos o navegador pode carregar. Ative as diretivas que precisa, clique nas fontes em que confia, e o cabeçalho pronto aparece na hora — pronto para colar no seu servidor web.
Uma Content-Security-Policy é a sua primeira linha de defesa contra cross-site scripting (XSS), clickjacking e outros ataques de injeção. Sem ela, o navegador carrega recursos de qualquer origem; com uma política bem ajustada, só os domínios que você liberar podem servir conteúdo. Este construtor transforma essa política em um cabeçalho pronto para copiar, no formato exato que sua infraestrutura espera — HTTP bruto, Apache, Nginx, uma meta tag HTML ou uma chamada header() em PHP.
Como Usar o Gerador de CSP Header
Escolha um ponto de partida
Escolha um modelo para carregar uma configuração comum — Restrita, Site Básico, SPA + API, WordPress, E-commerce ou CDN — ou comece Em Branco para montar do zero.
Configure as diretivas
Ative uma diretiva clicando na sua chave ou na linha do cabeçalho. Depois clique nos botões de fonte rápida como 'self', 'none' ou 'unsafe-inline', ou digite um domínio personalizado como cdn.exemplo.com e clique em Adicionar. Clique de novo em uma fonte para removê-la.
Revise os avisos
Enquanto você monta, a ferramenta analisa sua política e sinaliza problemas — erros em vermelho para riscos reais, como um object-src ausente ou uma fonte curinga, avisos em amarelo para pontos frágeis e notas em azul com contexto útil.
Escolha um formato e copie
Mude a aba de saída para Bruto, Apache, Nginx, Meta Tag ou PHP conforme seu servidor, depois clique em Copiar. Ative primeiro o modo Report-Only para testar a política sem bloquear nada.
Recursos
Construtor Visual de Diretivas
Cada diretiva é uma linha interativa com uma chave de ativação. Ative uma para revelar o painel de fontes com botões de adição rápida e um campo de domínio personalizado.
17 Diretivas CSP
Cobre todas as diretivas comuns nas categorias Busca, Documento, Navegação e Outras — de default-src e script-src a frame-ancestors e report-uri.
Botões de Fonte Rápida
Um clique adiciona valores comuns: 'self', 'none', 'unsafe-inline', 'unsafe-eval', 'strict-dynamic', data:, blob: e https:.
7 Modelos Prontos
Comece rápido com as configurações Em Branco, Restrita, Site Básico, SPA + API, WordPress, E-commerce e CDN, feitas para cenários reais.
Análise de Segurança em Tempo Real
Avisos ao vivo sinalizam 'unsafe-inline' e 'unsafe-eval' em scripts, um object-src ou base-uri ausente e fontes curinga que enfraquecem sua política.
5 Formatos de Saída
Exporte como cabeçalho HTTP bruto, diretiva do Apache, add_header do Nginx, meta tag HTML ou chamada header() em PHP — o que seu servidor precisar.
Modo Report-Only
Troque o cabeçalho para Content-Security-Policy-Report-Only para monitorar violações sem bloquear recursos enquanto você ajusta a política.
Lógica Inteligente de Fontes
Selecionar 'none' limpa as outras fontes, já que são mutuamente exclusivas; adicionar qualquer fonte remove 'none'; e duplicatas são evitadas automaticamente.
Cópia com Um Clique
Copie o cabeçalho gerado para a área de transferência com um único clique e cole direto na configuração do seu servidor.
100% no Navegador
Tudo roda no seu navegador, sem chamadas a servidores e sem rastreamento, então sua política permanece no seu dispositivo.
Perguntas Frequentes
O que é um cabeçalho Content-Security-Policy (CSP)?
Uma Content-Security-Policy é um cabeçalho de resposta HTTP que diz ao navegador quais fontes têm permissão para carregar scripts, estilos, imagens, fontes e outros recursos na sua página. É uma das defesas mais eficazes contra cross-site scripting (XSS) e outros ataques de injeção, porque tudo que vem de uma fonte não liberada é bloqueado.
Como criar um cabeçalho CSP para o meu site?
Comece a partir de um modelo como Restrita ou Site Básico, ou comece Em Branco. Ative as diretivas que precisa, clique ou digite as fontes em que confia, e o cabeçalho é gerado à medida que você avança. Depois escolha o formato de saída do seu servidor e clique em Copiar — sem precisar decorar a sintaxe das diretivas.
Devo usar uma meta tag CSP ou um cabeçalho de resposta?
O cabeçalho de resposta é a opção mais completa. A tag <meta> do HTML não pode usar o modo Report-Only, não pode definir frame-ancestors nem usar report-uri. Use a meta tag apenas quando não puder definir cabeçalhos no servidor; caso contrário, prefira a saída Apache, Nginx ou PHP para ter o CSP completo.
O que significam default-src e script-src?
default-src é o fallback para qualquer diretiva de busca que você não definir explicitamente — então default-src 'self' restringe os tipos de recurso não especificados ao seu próprio domínio. script-src controla de onde o JavaScript pode carregar, e qualquer diretiva definida explicitamente sobrepõe o default-src para aquele tipo de recurso.
Como testar o CSP sem quebrar o meu site?
Ative o modo Report-Only. A ferramenta então emite um cabeçalho Content-Security-Policy-Report-Only, que registra violações sem bloquear nenhum recurso. Acompanhe os relatórios, refine suas fontes e só passe para o cabeçalho de aplicação Content-Security-Policy quando a política estiver limpa.
O 'unsafe-inline' é realmente tão perigoso assim?
Sim. Permitir 'unsafe-inline' em script-src deixa qualquer script inline rodar — inclusive scripts que um atacante injeta por uma falha de XSS — o que anula boa parte da proteção que o CSP oferece. O construtor sinaliza isso para você. Prefira nonces ou hashes, que liberam scripts inline específicos enquanto ainda bloqueiam os injetados.
Por que devo sempre incluir object-src 'none'?
A diretiva object-src controla plugins como Flash e applets Java, que podem executar código arbitrário e contornar outras proteções do CSP. Definir object-src 'none' bloqueia todo conteúdo de plugin e, como sites modernos raramente precisam de plugins, esse é um padrão seguro e recomendado — a ferramenta avisa quando ele está ausente.
Ainda não há comentários. Seja o primeiro a comentar!