🛠️ 無料ツール.jp EN
カテゴリ

CSPヘッダー生成

CSPヘッダーをGUIで簡単構築

プリセット:

CSP セキュリティチェック

✓ セキュリティ上の問題なし

HTTP Header
<meta> Tag

Nonce ジェネレータ

Use in: <script nonce="[value]"></script>

CSPヘッダー生成で出来る事

「CSPヘッダー生成(CSP Header Generator)」は、Webサイトのセキュリティを大幅に強化するために不可欠な「Content Security Policy(コンテンツセキュリティポリシー)」のHTTPレスポンスヘッダーを、プログラミングの専門知識がなくてもGUI(グラフィカルユーザーインターフェース)上の操作だけで正確かつ安全に構築できる、Web開発者・サーバー管理者・セキュリティエンジニア必携の無料オンラインツールです。CSPとは、Webブラウザに対して「このページではどのドメインからのスクリプト・スタイルシート・画像・フォント・フレーム等のリソース読み込みを許可するか」を明示的に宣言するセキュリティメカニズムであり、XSS(クロスサイトスクリプティング)攻撃やデータインジェクション攻撃といった深刻なサイバー脅威からWebサイトの訪問者を保護するための最も重要な防御層の一つです。CSPヘッダーの構文は非常に複雑で、default-src、script-src、style-src、img-src、font-src、connect-src、frame-src、media-src、object-src、base-uri、form-action、frame-ancestors、report-uriなど十数種類のディレクティブが存在し、それぞれに'self'、'none'、'unsafe-inline'、'unsafe-eval'、ワイルドカード(*)、特定のURLドメインなどの値を正しく組み合わせて記述する必要があります。 本ツールでは、これらのディレクティブをチェックボックスとテキスト入力だけで直感的に設定でき、結果をHTTPヘッダー形式(Content-Security-Policy: ...)とHTMLの<meta>タグ形式の両方で自動出力します。さらに、よく使われるセキュリティレベルに応じた3段階のプリセット(Strict=最も厳格、Moderate=バランス型、Relaxed=緩め)を用意しており、ワンクリックで推奨設定をロードしてからカスタマイズすることも可能です。セキュリティチェック機能では、設定したCSPの脆弱性を自動検出し、unsafe-inline/unsafe-eval の危険性や object-src の未設定などを警告します。 Report-Only Mode でテスト運用前に影響を確認でき、Nonce ジェネレータで Strict CSP に必要な認証値を生成できます。すべての処理はブラウザ内で完結するため、サーバー設定情報が外部に漏洩するリスクは一切ありません。

CSPヘッダー生成の使い方

  1. プリセット(Strict/Moderate/Relaxed)を選択するか、各ディレクティブを個別に設定します。各ディレクティブのラベルにマウスを近づけるとツールチップで説明が表示されます。
  2. ディレクティブごとに'self'、'none'、'unsafe-inline'などのキーワードをチェックし、必要に応じてカスタムURLを追加します。
  3. 下部の「CSPセキュリティチェック」パネルで自動検証を確認し、警告やエラーがあれば修正します。
  4. 本番適用前にテストする場合は「Report-Only Mode」をチェックして、生成されたヘッダーをサーバーに設定します。
  5. 生成されたCSPヘッダー(HTTP形式またはmetaタグ形式)をコピーボタンでクリップボードにコピーし、サーバー設定やHTMLファイルに貼り付けます。

CSPヘッダー生成を使うメリット

  • 【複雑なCSP構文を直感的なGUIで正確に構築】十数種類のディレクティブと複数のソース値を組み合わせる必要があるCSPヘッダーの記述を、チェックボックスとテキスト入力だけで誰でも間違いなく作成できます。手書きによるタイプミスや構文エラーを完全に排除し、確実に動作するポリシーを生成します。
  • 【セキュリティチェック機能で脆弱性を自動検出】生成したポリシーに対して、unsafe-eval/unsafe-inline の危険性、object-src の未設定、ワイルドカード (*) の過度な利用など、セキュリティベストプラクティスに基づく検証を自動実行します。Google CSP Evaluator の考え方を参考に、Strict CSP への移行を促進します。
  • 【3段階のプリセットでセキュリティレベルを即座に設定】Strict(最も厳格:'self'のみ許可)、Moderate(バランス型:インラインスタイル許可)、Relaxed(緩め:外部リソース広く許可)の3つのプリセットをワンクリックで適用でき、プロジェクトのセキュリティ要件に合わせた最適な出発点から設定をカスタマイズできます。
  • 【HTTP形式とmetaタグ形式の両方を同時出力】Webサーバー(Nginx/Apache)の設定ファイルに記述するHTTPヘッダー形式と、HTMLファイルに直接埋め込むmetaタグ形式の両方を自動生成するため、どのような運用環境でもすぐに導入できます。
  • 【Report-Only Mode で本番前テスト】強制適用前に Report-Only ヘッダーを使用してポリシーをテストでき、report-uri で実際の違反ログを収集できます。アプリケーション破壊のリスクを最小化したまま段階的に導入できます。
  • 【Nonce ジェネレータで Strict CSP を実装】inline script / inline style に付与する nonce 値を、ワンクリックで生成・コピーできます。安全な script-src/style-src の設定へ移行を支援します。

テキスト のすべてのツール (20件)