免费在线 Content-Security-Policy 生成器/校验器 - 纯粹工具站

免费在线 CSP 生成器与校验器：可视化编辑 CSP 指令、解析现有 header、提示常见风险点，纯前端本地运行。

编辑此工具

Content-Security-Policy 用于限制资源加载与脚本执行，提升 XSS 防护。建议配合 `nonce-`/`sha256-` 等安全策略。

提示/风险点

script-src 包含 'unsafe-inline'：会显著降低 XSS 防护能力（建议 nonce/hash）。
style-src 包含 'unsafe-inline'：建议使用 nonce/hash 或尽量避免内联样式。

指令列表

tokens：'self'

tokens：'self' · 'unsafe-inline'

tokens：'self' · data:

tokens：'self'

tokens：'none'

tokens：'self'

CSP 输出

default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'; img-src 'self' data:; font-src 'self' data:; connect-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'self'

常用源：'self' / https: / data: / blob: / 'none' / 'unsafe-inline' / 'nonce-...' / 'sha256-...'

免费在线 Content-Security-Policy 生成器/校验器 - 纯粹工具站

免费在线 CSP 生成器与校验器：可视化编辑 CSP 指令、解析现有 header、提示常见风险点，纯前端本地运行。