CSP 生成与校验 - Content Security Policy 工具

default-src

script-src

style-src

img-src

connect-src

font-src

frame-ancestors

base-uri

object-src

form-action

点击下方快速标签可插入到当前输入框

'self' 'none' 'unsafe-inline' 'unsafe-eval' https: data:

upgrade-insecure-requests

block-all-mixed-content

Report-Only

report-uri/report-to

Report 地址 (可选)

生成结果

粘贴现有 CSP

CSP 用于限制页面可以加载的脚本、样式与资源来源，是防止 XSS 的核心安全策略。本工具支持快速生成常用指令，并检查是否存在 unsafe-inline、unsafe-eval 或通配符等高风险配置。同时支持 Report-Only 模式，便于上线前进行灰度验证。

建议从 default-src 开始逐步收紧，并为第三方资源设置明确域名白名单。上线后结合浏览器控制台与 CSP 报告进行持续优化。

unsafe-inline 一定不能用吗？

建议尽量避免，改用 nonce 或 hash 更安全。

Report-Only 有什么用？

仅报告不拦截，适合上线前验证策略。

缺少 default-src 会怎样？

浏览器会回退到各指令默认行为，安全性下降。

会保存我的 CSP 吗？

不会，所有操作仅在浏览器本地完成。