CSP Generator

Configura un preset, aggiungi domini esterni e copia un header CSP ragionevole da testare in modalità report-only.

build --content-security-policy analisi locale / nessun fetch remoto

build --content-security-policy

preset mode

domini extra, separati da virgola

Google Analytics Google Fonts YouTube embeds stili inline temporanei

Uso consigliato

Parti da Report-Only, controlla la console e i report, poi rendi la policy enforcement solo quando non rompe funzioni reali.

Evita `unsafe-inline` dove possibile. Se serve, pianifica nonce o hash per script e stili controllati.

Aggiorna la CSP quando aggiungi analytics, CDN, font, video embed o servizi terzi.

riferimenti