CSP Generator

Tạo Content Security Policy header

Directives

Fallback cho các directive khác

Nguồn cho JavaScript

Nguồn cho CSS

Nguồn cho hình ảnh

Nguồn cho fonts

Nguồn cho fetch, XHR, WebSocket

Nguồn cho audio/video

Nguồn cho iframe

Nguồn cho object, embed

Giới hạn URL cho <base>

Giới hạn URL cho form submit

Ai có thể embed trang này

Generated CSP

default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:

HTTP Header:

Content-Security-Policy: default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:

Meta Tag:

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:">

CSP Generator - Tạo Content Security Policy Header Online Miễn Phí

Công cụ tạo Content Security Policy (CSP) header trực quan. Bảo vệ website khỏi XSS, clickjacking, data injection attacks. 12 directives phổ biến, preset sources có sẵn, thêm custom domains, export HTTP header hoặc meta tag. Cải thiện security score.

Tính năng nổi bật

12 directives phổ biến: default-src, script-src, style-src...

Preset sources: 'self', 'none', 'unsafe-inline', data:, https:...

Thêm custom domains cho từng directive

Toggle on/off từng directive dễ dàng

Export dạng HTTP header hoặc meta tag

Giải thích ý nghĩa từng directive

Copy CSP với một click

Giao diện trực quan, dễ sử dụng

Content Security Policy là gì và tại sao quan trọng?

Content Security Policy (CSP) là HTTP header bảo mật quan trọng nhất cho website. CSP kiểm soát nguồn tài nguyên (scripts, styles, images, fonts...) được phép load, ngăn chặn hiệu quả các cuộc tấn công XSS (Cross-Site Scripting), clickjacking, và data injection. Theo OWASP, XSS là một trong những lỗ hổng phổ biến nhất. CSP đúng cách có thể ngăn chặn hầu hết các cuộc tấn công XSS ngay cả khi code có lỗi.

Lợi ích khi sử dụng

•Ngăn chặn XSS attacks hiệu quả
•Bảo vệ khỏi clickjacking
•Kiểm soát chặt chẽ resources được load
•Cải thiện security score (Mozilla Observatory, SecurityHeaders.com)
•Tuân thủ security best practices

Cách tạo CSP header

1Click vào directive để enable (VD: script-src)
2Chọn sources cho phép bằng cách click vào buttons
3Thêm custom domains nếu cần (VD: https://cdn.example.com)
4Xem CSP được generate realtime
5Copy HTTP header hoặc meta tag
6Thêm vào server config hoặc HTML

Câu hỏi thường gặp (FAQ)

'self' có nghĩa là gì?

'self' cho phép load resources từ cùng origin (protocol + domain + port). Đây là setting an toàn nhất và nên là default cho hầu hết directives.

'unsafe-inline' có nguy hiểm không?

Có. 'unsafe-inline' cho phép inline scripts/styles, vô hiệu hóa phần lớn bảo vệ XSS của CSP. Chỉ dùng khi thực sự cần thiết và không có cách khác.

Nên bắt đầu với CSP như thế nào?

Bắt đầu với default-src 'self', sau đó thêm các directives cụ thể cho scripts, styles, images từ CDN. Test kỹ trên staging trước khi deploy production.

CSP có ảnh hưởng performance không?

Không đáng kể. CSP được xử lý bởi browser và không tạo thêm network requests. Ngược lại, CSP có thể cải thiện security mà không ảnh hưởng speed.

Làm sao debug CSP errors?

Mở browser DevTools > Console. CSP violations sẽ hiển thị với message chi tiết. Bạn cũng có thể dùng report-uri directive để log violations về server.

Từ khóa liên quan

csp generatorcontent security policysecurity headersxss protectioncsp header generatorweb securityhttp security headers

Hợp tác ngay với Tấn Phát Digital

Chúng tôi không chỉ thiết kế website, mà còn giúp doanh nghiệp xây dựng thương hiệu số mạnh mẽ. Cung cấp dịch vụ thiết kế website trọn gói từ thiết kế đến tối ưu SEO. Hãy liên hệ ngay với Tấn Phát Digital để cùng tạo nên những giải pháp công nghệ đột phá, hiệu quả và bền vững cho doanh nghiệp của bạn tại Hồ Chí Minh.