search

Found

info Visão geral

Calcula SHA-256 via Web Crypto API e gera o token 'sha256-...' em Base64 pronto para colar em diretivas CSP.

📘 Como usar

  1. Inserir o código do script ou estilo no campo de texto
  2. Visualizar o hash gerado automaticamente no formato exigido pela diretiva CSP

Gerador de Hash CSP Inline

Copiado!
Article

Gerador de Hash Inline para CSP | Criar Hashes SHA-256 para Content Security Policy

Esta ferramenta online permite que desenvolvedores e profissionais de segurança da informação gerem rapidamente hashes SHA-256 em Base64 para scripts e estilos inline. Ela facilita a implementação de regras rígidas de Content Security Policy (CSP) em aplicações web, dispensando o uso de utilitários de terminal ou scripts locais.

💡 Visão Geral da Ferramenta

  • Geração em Tempo Real O hash criptográfico é recalculado instantaneamente via API crypto.subtle do navegador a cada alteração no campo de entrada, otimizando o fluxo de trabalho durante a edição.
  • Saída no Padrão da Especificação A string resultante já inclui o prefixo obrigatório do algoritmo e as aspas simples (ex: 'sha256-...='), estando pronta para integração direta no cabeçalho de resposta HTTP ou na meta tag.
  • Processamento 100% Local (Client-side) Os dados inseridos não são enviados a nenhum servidor. Todo o cálculo é realizado exclusivamente no navegador do usuário, garantindo a total privacidade do seu código e de possíveis variáveis sensíveis.

🧐 Perguntas Frequentes

Q. Como aplico o hash gerado no meu projeto?

A. O valor final deve ser anexado à diretiva script-src (para JavaScript) ou style-src (para CSS) no seu cabeçalho CSP. Exemplo de configuração: Content-Security-Policy: default-src 'self'; script-src 'self' 'sha256-ExemploDeHashEmBase64='

Q. O navegador continua bloqueando meu script, acusando violação de política. O que há de errado?

A. O algoritmo SHA-256 é sensível a qualquer mínima alteração em nível de byte. Espaços em branco invisíveis, tabulações (tabs) ou diferenças de quebra de linha (CRLF vs LF) entre o código-fonte real e o código colado na ferramenta resultarão em hashes diferentes. Garanta que o conteúdo analisado seja exatamente idêntico ao que está entre as tags HTML (as tags <script> ou <style> em si não entram no cálculo).

📚 Melhores Práticas e Arquitetura CSP

O suporte a hashes para elementos inline foi padronizado no Content Security Policy Level 2. Antes disso, aplicações que dependiam de scripts embutidos eram forçadas a recorrer à diretiva 'unsafe-inline', prática que neutraliza as defesas contra ataques de Cross-Site Scripting (XSS).

Mapear recursos por meio de hashes atua como uma allowlist cirúrgica recomendada em auditorias e frameworks de cibersegurança global, incluindo as diretrizes da OWASP. Lembre-se: em navegadores modernos, a mera presença de um hash em uma diretiva CSP anula automaticamente qualquer declaração paralela de 'unsafe-inline'. Isso garante que as defesas arquiteturais não sejam rebaixadas caso um desenvolvedor adicione acidentalmente configurações legadas ao servidor.