Cabeçalho ou tag — qual devo usar?

O cabeçalho HTTP é preferido. A forma é conveniente quando você não pode editar cabeçalhos de resposta (hosts estáticos, etc.), mas não pode definir frame-ancestors ou report-uri/report-to, então é estritamente menos poderosa.

Por que o wildcard é um aviso?

* numa lista de fontes coincide com qualquer URL, derrotando a política inteiramente. Fixe fontes em origens específicas ou use 'self' — se realmente precisa de scripts de terceiros, liste-os explicitamente.

Construtor de Content-Security-Policy

Rede

Compõe um cabeçalho Content-Security-Policy a partir de um formulário diretiva por diretiva. Cada diretiva aceita uma lista de fontes separadas por espaço (palavras-chave como 'self', 'none', 'unsafe-inline', ou fontes de esquema/host). A ferramenta sinaliza políticas que contêm unsafe-inline, unsafe-eval, ou um wildcard, omite diretivas vazias da saída, e emite tanto a forma de cabeçalho de resposta quanto a tag <meta> equivalente. Mude pra modo report-only enquanto está implantando uma nova política em produção.

—

Presets

Diretivas

default-src — fallback pra qualquer diretiva -src não definidascript-src — fontes JavaScriptstyle-src — fontes CSSimg-src — fontes de imagemfont-src — fontes de fonteconnect-src — fetch / XHR / WebSocket / EventSourcemedia-src — fontes audio / videoframe-src — conteúdo de frameworker-src — scripts Worker / SharedWorkerobject-src — <object>, <embed>, <applet> — defina como 'none'base-uri — URLs de tag <base>form-action — endpoints de envio de formframe-ancestors — quem pode incorporar esta página (substitui X-Frame-Options)report-uri — endpoint de relatório de violação (legacy)

Modo report-only

Cabeçalho

Content-Security-Policy: default-src 'self'; script-src 'self'; style-src 'self'; img-src 'self' data:; font-src 'self'; connect-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'none'

Tag <meta>

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self'; style-src 'self'; img-src 'self' data:; font-src 'self'; connect-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'none'">

Uma diretiva vazia cai pra default-src. Defina default-src 'self' primeiro, depois restrinja fontes individuais.

Como usar

Comece de um preset (Strict trava tudo em 'self', Relaxed permite inline + wildcards, API-only bloqueia navegação).
Edite cada diretiva — deixe um campo em branco pra descartá-la.
Ative report-only ao lançar uma nova política: violações são reportadas mas não bloqueadas.

Perguntas frequentes

Cabeçalho ou tag <meta> — qual devo usar?: O cabeçalho HTTP é preferido. A forma <meta> é conveniente quando você não pode editar cabeçalhos de resposta (hosts estáticos, etc.), mas não pode definir frame-ancestors ou report-uri/report-to, então é estritamente menos poderosa.
Por que o wildcard é um aviso?: * numa lista de fontes coincide com qualquer URL, derrotando a política inteiramente. Fixe fontes em origens específicas ou use 'self' — se realmente precisa de scripts de terceiros, liste-os explicitamente.

Ferramentas relacionadas

Construtor de URL Query

Construa URLs combinando uma base com parâmetros key-value editáveis — cada par alternável, percent-encoded corretamente.

Rede00

Inspetor de Endereço IP

Digite um endereço IPv4 ou IPv6 e veja sua classe, scope (privado / público / loopback / link-local), valor decimal, binário, notação reverse-DNS e CIDR /32.

Rede00

Referência de Portas

Cheat sheet pesquisável de ~60 portas TCP / UDP padrão — de 22 (SSH) e 80 (HTTP) até 6379 (Redis) e 27017 (MongoDB).

Rede00

Referência de Registros DNS

Cheat sheet pesquisável de tipos de registro DNS — A, AAAA, CNAME, MX, TXT, NS, SOA, PTR, SRV, CAA, DNSSEC, SVCB / HTTPS — com exemplos.

Rede00

Calculadora de Subrede (IPv4 / CIDR)

Parseia CIDR IPv4 em endereço de rede, broadcast, netmask, wildcard, faixa de hosts e classe. Mostra desdobramento binário e status privado/público.

Rede00

Parser de User Agent

Parseia string User-Agent em navegador, engine, OS, dispositivo e CPU. Detecta 20+ bots incluindo GPTBot, ClaudeBot, PerplexityBot.

Rede00