search

Found

info Visão geral

Escolha entre 11 presets (GA, YouTube, Maps, jsDelivr) e gere o cabeçalho CSP em Apache, Nginx ou meta HTML.

📘 Como usar

  1. Selecionar os serviços externos permitidos nas caixas de seleção
  2. Inserir domínios personalizados adicionais no campo de texto, se necessário
  3. Escolher o formato de saída desejado (Apache, Nginx ou HTML Meta)

Gerador de cabeçalhos CSP

rule Serviços e Configurações Permitidos

Copiado!
Article

Gerador de Cabeçalho CSP (Content Security Policy) | Proteja seu Site Estático

O Gerador de Content Security Policy (CSP) é uma ferramenta utilitária para desenvolvedores front-end, DevOps e administradores de sistemas que facilita a criação de diretivas de segurança contra ataques XSS e injeção de dados. Ideal para sites estáticos e servidores web, permite configurar cabeçalhos HTTP com sintaxe perfeita de forma rápida e direta.

💡 Sobre a Ferramenta

  • Geração Visual de Diretivas: Selecione com um clique as integrações mais comuns (Google Analytics, Google Fonts, YouTube, CDN Cloudflare, jsDelivr, entre outros) para gerar a sintaxe CSP correta sem precisar consultar a documentação ou decorar domínios externos.
  • Suporte a Domínios Personalizados: Adicione URLs específicas de APIs, CDNs internos ou serviços terceiros do seu projeto, separadas por espaço (ex: api.seudominio.com.br cdn.seudominio.com.br).
  • Múltiplos Formatos de Exportação: Obtenha a configuração exata pronta para uso em servidores Apache (via diretiva Header set), Nginx (via add_header) ou diretamente no front-end via tag <meta> no <head> do HTML.
  • Privacidade Total: Os dados não são enviados para nenhum servidor. Todo o processamento de regras e geração do código é feito localmente no seu navegador.

🧐 Perguntas Frequentes

Q. O que significa habilitar as opções "Inline Scripts" e "Inline Styles"?

A. Ao marcar essas opções, a diretiva 'unsafe-inline' é adicionada ao cabeçalho para script-src e style-src. Na avaliação de segurança cibernética, o uso de 'unsafe-inline' reduz drasticamente a proteção da política CSP contra ataques de Cross-Site Scripting (XSS). Embora facilite a execução de scripts embutidos no HTML (dentro das tags <script>), em ambientes de produção rigorosos, a norma é evitar essa prática, migrando todo o código para arquivos externos ou utilizando hashes criptográficos/nonces.

Q. Por que meu site "quebrou" ou perdeu estilos após aplicar o cabeçalho CSP?

A. O CSP age como uma lista de permissões estrita (whitelist). Se um recurso da sua página tentar carregar de um domínio que não foi explicitamente declarado na política gerada, o navegador do visitante o bloqueará automaticamente por segurança (você verá o erro Blocked by Content Security Policy no console do F12). Para corrigir, identifique os recursos bloqueados e adicione seus respectivos domínios no campo "Domínios Adicionais".

📚 Curiosidade: CSP no contexto da Lei Geral de Proteção de Dados (LGPD)

No mercado de tecnologia brasileiro, a implementação rigorosa do cabeçalho Content-Security-Policy deixou de ser apenas um capricho técnico para se tornar um mecanismo fundamental de Privacy by Design, alinhado às exigências da LGPD.

Ao restringir exatamente para onde o seu site tem permissão de enviar dados (diretiva connect-src) e de onde pode carregar scripts executáveis, a equipe de engenharia mitiga preventivamente o risco de vazamento de dados (data exfiltration) provocado por injeções de código malicioso de terceiros ou comprometimento da cadeia de suprimentos (ataques de supply chain). Na prática, o CSP age como um firewall implementado diretamente no navegador do usuário final, garantindo que mesmo que uma vulnerabilidade seja explorada no código-fonte, o atacante não conseguirá extrair dados sensíveis para servidores não autorizados.