Commencez strict (default-src 'none') et ajoutez les sources progressivement — il est plus facile d'assouplir que de durcir?

Commencez strict (default-src 'none') et ajoutez les sources progressivement — il est plus facile d'assouplir que de durcir.

Testez votre CSP en mode report-only (Content-Security-Policy-Report-Only) d'abord pour éviter de casser votre site?

Testez votre CSP en mode report-only (Content-Security-Policy-Report-Only) d'abord pour éviter de casser votre site.

Utilisez l'export Nginx pour déployer votre CSP directement dans la configuration de votre serveur.

Générer des en-têtes Content Security Policy

Construisez un en-tête Content Security Policy visuellement en configurant chaque directive — exportez en en-tête HTTP, balise meta ou snippet Nginx.

1Configurez chaque directive CSP (default-src, script-src, style-src, img-src, etc.) en sélectionnant les sources autorisées.
2Utilisez 'self' pour autoriser les ressources de votre propre domaine, ou ajoutez des domaines externes spécifiques.
3Évitez 'unsafe-inline' et 'unsafe-eval' sauf nécessité absolue — ils affaiblissent considérablement votre CSP.
4Vérifiez l'en-tête CSP généré dans le panneau de sortie.
5Copiez la valeur de l'en-tête, la balise meta HTML, ou téléchargez un snippet de configuration Nginx.

Commencez strict (default-src 'none') et ajoutez les sources progressivement — il est plus facile d'assouplir que de durcir.
Testez votre CSP en mode report-only (Content-Security-Policy-Report-Only) d'abord pour éviter de casser votre site.
Utilisez l'export Nginx pour déployer votre CSP directement dans la configuration de votre serveur.

Équipe OneKitToolsMise à jour 2.21.4