CSP Generator

Content Security Policy (CSP) ist ein Sicherheitsstandard, der Cross-Site-Scripting (XSS), Clickjacking und andere Code-Injection-Angriffe verhindert. Er funktioniert, indem festgelegt wird, welche Inhaltsquellen (Skripte, Styles, Bilder, Schriften, etc.) auf Ihrer Webseite geladen werden dürfen. Browser setzen diese Regeln durch und blockieren alle Inhalte, die gegen die Policy verstoßen.

CSP wird als HTTP-Response-Header (Content-Security-Policy) oder als <meta>-Tag implementiert. Es verwendet Direktiven wie script-src, style-src und img-src, um zu steuern, von wo jeder Ressourcentyp geladen werden darf. Eine gut konfigurierte CSP ist eine der effektivsten Verteidigungen gegen XSS-Angriffe, die weiterhin zu den häufigsten Webanwendungs-Schwachstellen gehören.

Dieser CSP-Generator ermöglicht es Ihnen, Content-Security-Policy-Header interaktiv zu erstellen. Konfigurieren Sie jede Direktive mit vordefinierten Quellen, CDN-Domains und benutzerdefinierten Werten. Das Tool bietet Echtzeit-Sicherheitswarnungen, mehrere Ausgabeformate (HTTP-Header, Meta-Tag, nginx, Apache, Express.js) und Presets für gängige Sicherheitsstufen. Die gesamte Konfiguration findet in Ihrem Browser statt.

1. Mit einem Preset starten — Wählen Sie zwischen "Strict (empfohlen)", "Moderate", "Permissive" oder "API Only" Presets als Basis-Policy. Strict wird für neue Anwendungen empfohlen.
2. Direktiven konfigurieren — Aktivieren Sie die Direktiven, die Ihre Anwendung benötigt (default-src, script-src, style-src, img-src, etc.) und fügen Sie erlaubte Quellen für jede hinzu. Klicken Sie auf Quellen-Badges oder geben Sie benutzerdefinierte Domains ein.
3. Sicherheitswarnungen prüfen — Das Tool warnt Sie vor unsicheren Konfigurationen wie 'unsafe-inline', 'unsafe-eval' oder Wildcard-Quellen, die Ihre Policy schwächen.
4. Zusätzliche Optionen setzen — Aktivieren Sie upgrade-insecure-requests um HTTPS zu erzwingen, block-all-mixed-content um HTTP-Ressourcen auf HTTPS-Seiten zu blockieren, und konfigurieren Sie einen Report-URI-Endpunkt.
5. Ausgabe kopieren — Wechseln Sie zwischen Ausgabeformaten (HTTP-Header, Meta-Tag, nginx, Apache, Express.js) und kopieren Sie die Konfiguration für Ihren Server oder Ihr Framework.

• 15 CSP-Direktiven — Konfigurieren Sie default-src, script-src, style-src, img-src, font-src, connect-src, media-src, object-src, frame-src, child-src, worker-src, form-action, frame-ancestors, base-uri und manifest-src.
• Sicherheitswarnungen — Echtzeit-Warnungen bei Verwendung unsicherer Quellen wie 'unsafe-inline', 'unsafe-eval' oder Wildcard (*), die Ihren CSP-Schutz schwächen.
• Mehrere Ausgabeformate — Generieren Sie CSP als HTTP-Header, HTML-Meta-Tag, nginx-Direktive, Apache-Header oder Express.js-Middleware - bereit zum Einfügen in Ihre Konfiguration.
• Schnelle Presets — Vier Sicherheitsstufen-Presets (Strict, Moderate, Permissive, API Only) mit sinnvollen Standardwerten für verschiedene Anwendungsfälle.
• Gängige CDN-Quellen — Ein-Klick-Hinzufügen beliebter CDN-Domains (cdnjs, jsDelivr, Google Fonts, unpkg, Google Analytics, GTM) zu jeder Direktive.
• 100% clientseitig — Ihre CSP-Konfiguration wird vollständig in Ihrem Browser erstellt. Keine Serverkommunikation, keine Datenerfassung.

• XSS-Schutz — Beschränken Sie Skript-Quellen, um zu verhindern, dass injizierte bösartige Skripte ausgeführt werden, selbst wenn ein Angreifer eine Injection-Stelle in Ihrer Anwendung findet.
• Compliance-Anforderungen — Erfüllen Sie Sicherheits-Compliance-Standards (PCI DSS, SOC 2, OWASP), die Content-Security-Policy-Header als Teil der Webanwendungs-Härtung erfordern.
• Drittanbieter-Skript-Kontrolle — Whitelisten Sie explizit, welche Drittanbieter-Skripte (Analytics, Werbung, Widgets) auf Ihren Seiten ausgeführt werden dürfen, und verhindern Sie unbefugtes Laden von Skripten.
• Clickjacking-Prävention — Verwenden Sie frame-ancestors, um zu steuern, welche Seiten Ihre Seiten in Iframes einbetten dürfen, als Ersatz für den veralteten X-Frame-Options-Header.
• Mixed-Content-Migration — Verwenden Sie upgrade-insecure-requests, um HTTP-Ressourcen-URLs während einer HTTPS-Migration automatisch auf HTTPS zu aktualisieren.