Content Security Policy Builder

Lindungi website Anda dari serangan XSS dan Data Injection. Generate header CSP yang valid dan aman secara visual tanpa coding manual.

Directives Configuration

default-src

Fallback default untuk semua directive yang tidak ditentukan.

script-src

Mengontrol sumber JavaScript (Penting untuk cegah XSS).

style-src

Mengontrol sumber CSS/Stylesheets.

img-src

Mengontrol sumber gambar yang boleh dimuat.

connect-src

Membatasi target Fetch, XHR, WebSocket.

font-src

Mengontrol sumber Font (Google Fonts, dll).

object-src

Memblokir plugin berbahaya (Flash/Java).

media-src

Mengontrol sumber Audio dan Video.

frame-src

Mengontrol konten iframe yang diizinkan.

Generated Policy

Deploy: Tambahkan kode ini ke file .htaccess (Apache), nginx.conf (Nginx), atau Meta Tag di <head> HTML Anda.

Apa itu Content Security Policy (CSP)?

Anti-XSS

CSP adalah lapisan pertahanan utama yang mencegah serangan Cross-Site Scripting (XSS) dengan membatasi dari mana script boleh dimuat.

Kontrol Sumber

Anda bisa menentukan secara spesifik domain mana yang boleh memuat gambar, font, atau melakukan koneksi API ke website Anda.

Mitigasi Injection

Mencegah serangan Packet Sniffing dan Data Injection dengan memblokir konten yang tidak dikenal atau mixed-content (HTTP di HTTPS).

Panduan Directive Penting

  • default-srcDirective cadangan. Jika directive lain (seperti image-src) tidak diatur, browser akan mengikuti aturan ini. Sebaiknya set ke 'self'.
  • script-srcPaling krusial untuk XSS. Mengontrol file JavaScript `.js`. Jangan gunakan 'unsafe-inline' kecuali Anda mengerti risikonya.
  • object-srcMengontrol plugin seperti Flash, Java Applet. Praktik keamanan modern menyarankan untuk selalu set ini ke 'none'.

FAQ CSP

Apa bedanya Header dan Meta Tag?

HTTP Header lebih kuat dan disarankan karena mendukung semua directive (termasuk report-uri). Meta Tag lebih mudah dipasang (cukup edit HTML) tetapi fiturnya terbatas.

Apa itu 'unsafe-inline'?

Ini mengizinkan script yang ditulis langsung di HTML (<script>...</script>) atau event handler (onclick=...). Ini celah keamanan besar bagi XSS.

Bagaimana cara debug CSP?

Gunakan Console di Developer Tools browser Anda (F12). Browser akan menampilkan error merah jika ada resource yang diblokir oleh CSP.

AllTools CSP Generator adalah alat keamanan web gratis. Buat Content Security Policy, cegah XSS Cross Site Scripting, amankan Nginx/Apache, dan optimalkan header keamanan website.