search

Found

info About

Herramienta de generador de directivas csp en el navegador. Sin envío de datos.

📘 Cómo usar

  1. Seleccionar los servicios externos que se utilizarán (ej. Google Analytics, YouTube).
  2. Añadir dominios personalizados adicionales en el campo de texto si es necesario.
  3. Elegir el formato de salida deseado (Apache, Nginx o Meta Tag HTML).

Generador de Directivas CSP

rule Servicios y ajustes permitidos

¡Copiado!

grid_view Related

  • No related tools configured.
Article

Generador de Cabeceras CSP|Crea Políticas de Seguridad de Contenido Fácilmente

Esta herramienta online permite a los desarrolladores y administradores de sitios web generar de forma rápida y sencilla una cabecera de Política de Seguridad de Contenido (Content Security Policy, CSP) para mejorar la seguridad de sus sitios estáticos. Simplemente selecciona los servicios de terceros que utilizas, y la herramienta creará la directiva CSP correspondiente para proteger tu web contra ataques de Cross-Site Scripting (XSS) y otras vulnerabilidades de inyección de código.

💡 Resumen de la herramienta

  • Selección basada en servicios: Elige fácilmente entre servicios populares como Google Analytics, Google Fonts, YouTube, CDNs (Cloudflare, jsDelivr) y más, a través de casillas de verificación.
  • Múltiples formatos de salida: Genera el código listo para ser implementado en servidores Apache (.htaccess), Nginx (nginx.conf) o directamente en tu HTML como una etiqueta <meta>.
  • Flexibilidad con dominios personalizados: Añade fácilmente tus propios dominios o los de servicios no listados para una política de seguridad totalmente personalizada.
  • Opciones de seguridad avanzadas: Incluye opciones para permitir recursos data: (imágenes Base64), scripts en línea (unsafe-inline) y estilos en línea, para una mayor compatibilidad con configuraciones existentes.

🧐 Preguntas frecuentes

Q. ¿Qué es una Política de Seguridad de Contenido (CSP)?

A. Es una capa de seguridad adicional que ayuda a detectar y mitigar ciertos tipos de ataques, principalmente el Cross-Site Scripting (XSS). La CSP funciona especificando una lista blanca de fuentes de contenido fiables (scripts, estilos, imágenes, etc.) que el navegador tiene permitido cargar y ejecutar en una página web. Cualquier recurso que no provenga de una fuente autorizada será bloqueado por el navegador.

Q. ¿Cuándo debo usar las opciones 'unsafe-inline'?

A. Las directivas 'unsafe-inline' para script-src y style-src deben usarse con extrema precaución, ya que anulan gran parte de la protección que ofrece la CSP contra ataques XSS. Son una solución para sitios web heredados que dependen de scripts o estilos insertados directamente en el HTML. Siempre que sea posible, se recomienda refactorizar el código para mover los scripts y estilos a archivos externos y evitar el uso de 'unsafe-inline'.

📚 Datos de interés sobre el Generador CSP

La directiva default-src 'self' es la base de una política CSP robusta. 'self' indica al navegador que, por defecto, solo confíe en los recursos que provienen del mismo origen (mismo dominio, protocolo y puerto) que la página. A partir de esta base, se pueden definir políticas más específicas para diferentes tipos de recursos.

Por ejemplo, si defines script-src 'self' https://cdn.example.com, estás sobreescribiendo la regla default-src solo para los scripts, permitiendo que se carguen desde tu propio dominio y desde cdn.example.com. Todas las demás directivas (como img-src o font-src) seguirán usando la regla de default-src, es decir, solo permitirán recursos del propio dominio. Esta jerarquía permite crear políticas de seguridad muy granulares y efectivas.