Constructor de Políticas CSP
Construye cabeceras Content Security Policy de forma interactiva. Activa directivas y observa cómo se actualiza tu política en tiempo real.
default-src Estricto Bloquear todos los recursos por defecto (enfoque denegar por defecto) 'none'script-src Estricto Permitir scripts del mismo origen con nonce 'self' 'nonce-{RANDOM}'style-src Permitir estilos del mismo origen + estilos en línea 'self' 'unsafe-inline'Endurecimiento de seguridad
object-src Estricto Bloquear plugins (Flash, Java) — Requerido para CSP estricto 'none'base-uri Estricto Prevenir inyección de etiqueta base — Requerido para CSP estricto 'none'frame-ancestors Prevenir clickjacking (reemplaza X-Frame-Options) 'none'form-action Restringir envíos de formularios al mismo origen 'self'frame-src Controlar fuentes de frames e iframes 'self'sandbox Aplicar restricciones sandbox (como iframe sandbox) allow-scripts allow-same-originControl de recursos
img-src Permitir imágenes del mismo origen + URIs de datos 'self' data:font-src Permitir fuentes del mismo origen 'self'connect-src Restringir conexiones XHR/Fetch/WebSocket 'self'media-src Permitir audio/vídeo del mismo origen 'self'worker-src Permitir Web Workers del mismo origen 'self'child-src Controlar workers y contextos de navegación anidados 'self'manifest-src Controlar fuentes del manifiesto de la aplicación web 'self'Opciones avanzadas
strict-dynamic Confiar en scripts cargados por scripts de confianza (añadir a script-src) upgrade-insecure-requests Actualizar automáticamente HTTP a HTTPS block-all-mixed-content Obsoleto Bloquear todos los recursos HTTP en páginas HTTPS require-trusted-types-for Requerir Trusted Types para sumideros DOM XSS 'script'report-to Endpoint de informes moderno (usar con la cabecera Reporting-Endpoints) csp-endpointreport-uri Obsoleto Endpoint de informes de violaciones (obsoleto, usar report-to) /csp-reportsContent-Security-Policy: ...Acerca de esta herramienta
Content Security Policy (CSP) es una capa de seguridad crítica que ayuda a detectar y mitigar ciertos tipos de ataques, incluyendo Cross-Site Scripting (XSS) y ataques de inyección de datos. Este constructor interactivo te ayuda a crear cabeceras CSP complejas seleccionando directivas y añadiendo fuentes de confianza.
Características
Más de 20 directivas organizadas por categoría (Fetch, Navigation, Document, etc.)
Presets rápidos para servicios comunes como Google Fonts, Analytics, YouTube y CDNs
Dominios personalizados — añade tus propias URLs de confianza a cualquier directiva
7 formatos de exportación — configuración lista para usar en Nginx, Apache, Cloudflare, Vercel y más
Modo Report-Only — prueba tu política sin bloquear recursos
Evaluación de seguridad — advertencias en tiempo real para configuraciones inseguras como
‘unsafe-inline’
Cómo usar
- Activa las directivas que necesites para tu sitio web
- Usa los presets rápidos para añadir servicios de terceros comunes
Añade dominios personalizados haciendo clic en el botón + en las directivas editables
- Selecciona el formato de tu servidor (Nginx, Apache, Cloudflare, etc.)
Activa el modo Report-Only para probar antes de aplicar
- Copia y añade la configuración a tu servidor
Privacidad
Tus configuraciones de seguridad son privadas. Toda la construcción y formateo de políticas ocurre completamente en tu navegador. No se envía ningún dominio, URL ni configuración de política a ningún servidor.
Referencia de comandos Linux
Una vez configurada tu CSP, puedes verificarla usando herramientas de terminal.
Comprobar la cabecera CSP con curl
Calcular hash para script inline
Más información
Para una guía completa sobre la implementación de CSP, consulta
Implementando Content Security Policy en Nginx
.