Gerador de Cabeçalho CSP (Content Security Policy) | Proteja seu Site Estático
O Gerador de Content Security Policy (CSP) é uma ferramenta utilitária para desenvolvedores front-end, DevOps e administradores de sistemas que facilita a criação de diretivas de segurança contra ataques XSS e injeção de dados. Ideal para sites estáticos e servidores web, permite configurar cabeçalhos HTTP com sintaxe perfeita de forma rápida e direta.
💡 Sobre a Ferramenta
- Geração Visual de Diretivas: Selecione com um clique as integrações mais comuns (Google Analytics, Google Fonts, YouTube, CDN Cloudflare, jsDelivr, entre outros) para gerar a sintaxe CSP correta sem precisar consultar a documentação ou decorar domínios externos.
- Suporte a Domínios Personalizados: Adicione URLs específicas de APIs, CDNs internos ou serviços terceiros do seu projeto, separadas por espaço (ex:
api.seudominio.com.br cdn.seudominio.com.br). - Múltiplos Formatos de Exportação: Obtenha a configuração exata pronta para uso em servidores Apache (via diretiva
Header set), Nginx (viaadd_header) ou diretamente no front-end via tag<meta>no<head>do HTML. - Privacidade Total: Os dados não são enviados para nenhum servidor. Todo o processamento de regras e geração do código é feito localmente no seu navegador.
🧐 Perguntas Frequentes
Q. O que significa habilitar as opções "Inline Scripts" e "Inline Styles"?
A. Ao marcar essas opções, a diretiva 'unsafe-inline' é adicionada ao cabeçalho para script-src e style-src. Na avaliação de segurança cibernética, o uso de 'unsafe-inline' reduz drasticamente a proteção da política CSP contra ataques de Cross-Site Scripting (XSS). Embora facilite a execução de scripts embutidos no HTML (dentro das tags <script>), em ambientes de produção rigorosos, a norma é evitar essa prática, migrando todo o código para arquivos externos ou utilizando hashes criptográficos/nonces.
Q. Por que meu site "quebrou" ou perdeu estilos após aplicar o cabeçalho CSP?
A. O CSP age como uma lista de permissões estrita (whitelist). Se um recurso da sua página tentar carregar de um domínio que não foi explicitamente declarado na política gerada, o navegador do visitante o bloqueará automaticamente por segurança (você verá o erro Blocked by Content Security Policy no console do F12). Para corrigir, identifique os recursos bloqueados e adicione seus respectivos domínios no campo "Domínios Adicionais".
📚 Curiosidade: CSP no contexto da Lei Geral de Proteção de Dados (LGPD)
No mercado de tecnologia brasileiro, a implementação rigorosa do cabeçalho Content-Security-Policy deixou de ser apenas um capricho técnico para se tornar um mecanismo fundamental de Privacy by Design, alinhado às exigências da LGPD.
Ao restringir exatamente para onde o seu site tem permissão de enviar dados (diretiva connect-src) e de onde pode carregar scripts executáveis, a equipe de engenharia mitiga preventivamente o risco de vazamento de dados (data exfiltration) provocado por injeções de código malicioso de terceiros ou comprometimento da cadeia de suprimentos (ataques de supply chain). Na prática, o CSP age como um firewall implementado diretamente no navegador do usuário final, garantindo que mesmo que uma vulnerabilidade seja explorada no código-fonte, o atacante não conseguirá extrair dados sensíveis para servidores não autorizados.