什麼是 CSP? Content Security Policy 是一種瀏覽器支援的 Web 安全機制,用來限制網站能載入或執行的資源來源,從而降低跨站攻擊(如 XSS)、內容植入、資料竄改等風險。
CSP 如何運作? CSP 透過 HTTP 標頭(Content-Security-Policy)設定。當瀏覽器載入頁面時,會根據指令比對每個資源的來源,若違反政策,瀏覽器會封鎖該資源,並可選擇回報給指定伺服器(例如透過 report-to 或 report-uri)。
如何使用本頁面? 下方列出常見的 CSP 指令,您可以勾選建議的來源選項,或自行輸入欲允許的來源網址。產生後的 CSP 會顯示於下方,可應用於 HTTP 回應標頭中。
📘 本功能主要用於資訊安全教育訓練之用,除了本頁列出的指令,更多 CSP 進階設定,請參考 W3C 文件:https://www.w3.org/TR/CSP/
⚠️ 本工具僅供個人測試用途,對產生內容的正確性、完整性與安全性不提供任何保證。請使用者自行評估並驗證應用於實際環境之適切性。