Idioma
English English Vietnamese (Tiếng Việt) Vietnamese (Tiếng Việt) Chinese (简体中文) Chinese (简体中文) Portuguese (Brazil) (Português do Brasil) Portuguese (Brazil) (Português do Brasil) Spanish (Español) Spanish (Español) Indonesian (Bahasa Indonesia) Indonesian (Bahasa Indonesia)

Monte um cabeçalho Content-Security-Policy de forma visual: construtor de diretivas, modelos prontos, avisos de segurança ao vivo e saída para Apache, Nginx e PHP.

Gerador de CSP Header

Este gerador de CSP header monta um cabeçalho Content-Security-Policy de forma visual, para que você controle quais scripts, estilos, imagens e outros recursos o navegador pode carregar. Ative as diretivas que precisa, clique nas fontes em que confia, e o cabeçalho pronto aparece na hora — pronto para colar no seu servidor web.

Uma Content-Security-Policy é a sua primeira linha de defesa contra cross-site scripting (XSS), clickjacking e outros ataques de injeção. Sem ela, o navegador carrega recursos de qualquer origem; com uma política bem ajustada, só os domínios que você liberar podem servir conteúdo. Este construtor transforma essa política em um cabeçalho pronto para copiar, no formato exato que sua infraestrutura espera — HTTP bruto, Apache, Nginx, uma meta tag HTML ou uma chamada header() em PHP.

Privado por natureza: toda a política é montada no seu navegador. Suas diretivas, domínios personalizados e o cabeçalho gerado nunca são enviados a nenhum servidor.

Como Usar o Gerador de CSP Header

1

Escolha um ponto de partida

Escolha um modelo para carregar uma configuração comum — Restrita, Site Básico, SPA + API, WordPress, E-commerce ou CDN — ou comece Em Branco para montar do zero.

2

Configure as diretivas

Ative uma diretiva clicando na sua chave ou na linha do cabeçalho. Depois clique nos botões de fonte rápida como 'self', 'none' ou 'unsafe-inline', ou digite um domínio personalizado como cdn.exemplo.com e clique em Adicionar. Clique de novo em uma fonte para removê-la.

3

Revise os avisos

Enquanto você monta, a ferramenta analisa sua política e sinaliza problemas — erros em vermelho para riscos reais, como um object-src ausente ou uma fonte curinga, avisos em amarelo para pontos frágeis e notas em azul com contexto útil.

4

Escolha um formato e copie

Mude a aba de saída para Bruto, Apache, Nginx, Meta Tag ou PHP conforme seu servidor, depois clique em Copiar. Ative primeiro o modo Report-Only para testar a política sem bloquear nada.

Recursos

Construtor Visual de Diretivas

Cada diretiva é uma linha interativa com uma chave de ativação. Ative uma para revelar o painel de fontes com botões de adição rápida e um campo de domínio personalizado.

17 Diretivas CSP

Cobre todas as diretivas comuns nas categorias Busca, Documento, Navegação e Outras — de default-src e script-src a frame-ancestors e report-uri.

Botões de Fonte Rápida

Um clique adiciona valores comuns: 'self', 'none', 'unsafe-inline', 'unsafe-eval', 'strict-dynamic', data:, blob: e https:.

7 Modelos Prontos

Comece rápido com as configurações Em Branco, Restrita, Site Básico, SPA + API, WordPress, E-commerce e CDN, feitas para cenários reais.

Análise de Segurança em Tempo Real

Avisos ao vivo sinalizam 'unsafe-inline' e 'unsafe-eval' em scripts, um object-src ou base-uri ausente e fontes curinga que enfraquecem sua política.

5 Formatos de Saída

Exporte como cabeçalho HTTP bruto, diretiva do Apache, add_header do Nginx, meta tag HTML ou chamada header() em PHP — o que seu servidor precisar.

Modo Report-Only

Troque o cabeçalho para Content-Security-Policy-Report-Only para monitorar violações sem bloquear recursos enquanto você ajusta a política.

Lógica Inteligente de Fontes

Selecionar 'none' limpa as outras fontes, já que são mutuamente exclusivas; adicionar qualquer fonte remove 'none'; e duplicatas são evitadas automaticamente.

Cópia com Um Clique

Copie o cabeçalho gerado para a área de transferência com um único clique e cole direto na configuração do seu servidor.

100% no Navegador

Tudo roda no seu navegador, sem chamadas a servidores e sem rastreamento, então sua política permanece no seu dispositivo.

Perguntas Frequentes

O que é um cabeçalho Content-Security-Policy (CSP)?

Uma Content-Security-Policy é um cabeçalho de resposta HTTP que diz ao navegador quais fontes têm permissão para carregar scripts, estilos, imagens, fontes e outros recursos na sua página. É uma das defesas mais eficazes contra cross-site scripting (XSS) e outros ataques de injeção, porque tudo que vem de uma fonte não liberada é bloqueado.

Como criar um cabeçalho CSP para o meu site?

Comece a partir de um modelo como Restrita ou Site Básico, ou comece Em Branco. Ative as diretivas que precisa, clique ou digite as fontes em que confia, e o cabeçalho é gerado à medida que você avança. Depois escolha o formato de saída do seu servidor e clique em Copiar — sem precisar decorar a sintaxe das diretivas.

Devo usar uma meta tag CSP ou um cabeçalho de resposta?

O cabeçalho de resposta é a opção mais completa. A tag <meta> do HTML não pode usar o modo Report-Only, não pode definir frame-ancestors nem usar report-uri. Use a meta tag apenas quando não puder definir cabeçalhos no servidor; caso contrário, prefira a saída Apache, Nginx ou PHP para ter o CSP completo.

O que significam default-src e script-src?

default-src é o fallback para qualquer diretiva de busca que você não definir explicitamente — então default-src 'self' restringe os tipos de recurso não especificados ao seu próprio domínio. script-src controla de onde o JavaScript pode carregar, e qualquer diretiva definida explicitamente sobrepõe o default-src para aquele tipo de recurso.

Como testar o CSP sem quebrar o meu site?

Ative o modo Report-Only. A ferramenta então emite um cabeçalho Content-Security-Policy-Report-Only, que registra violações sem bloquear nenhum recurso. Acompanhe os relatórios, refine suas fontes e só passe para o cabeçalho de aplicação Content-Security-Policy quando a política estiver limpa.

O 'unsafe-inline' é realmente tão perigoso assim?

Sim. Permitir 'unsafe-inline' em script-src deixa qualquer script inline rodar — inclusive scripts que um atacante injeta por uma falha de XSS — o que anula boa parte da proteção que o CSP oferece. O construtor sinaliza isso para você. Prefira nonces ou hashes, que liberam scripts inline específicos enquanto ainda bloqueiam os injetados.

Por que devo sempre incluir object-src 'none'?

A diretiva object-src controla plugins como Flash e applets Java, que podem executar código arbitrário e contornar outras proteções do CSP. Definir object-src 'none' bloqueia todo conteúdo de plugin e, como sites modernos raramente precisam de plugins, esse é um padrão seguro e recomendado — a ferramenta avisa quando ele está ausente.

Crie cabeçalhos Content-Security-Policy de forma visual. Ative diretivas, adicione fontes e copie o cabeçalho gerado para o seu servidor web.

Saída

        
Comece com um modelo pronto e personalize conforme suas necessidades
Ative o modo Report-Only para testar a política antes de aplicá-la
Sempre inclua object-src 'none' para evitar ataques via plugins
Adicione base-uri 'self' para evitar injeção de tag base
Evite 'unsafe-inline' e 'unsafe-eval' em script-src sempre que possível
Use o formato Meta Tag apenas quando não puder definir cabeçalhos no servidor
Quer saber mais? Leia a documentação →
1/7
Comece a digitar para pesquisar...
Pesquisando...
Nenhum resultado encontrado
Tente pesquisar com palavras-chave diferentes