CSP Builder

セキュリティヘッダー/ポリシーをブラウザ内で診断します。入力はサーバーへ送信しません。段階導入前の一次確認に使えます。

状態

ブラウザ内で処理します。入力はサーバーへ送信しません。まずはここで一次切り分けしてください。

使い方

テンプレートを選び、必要なドメインを追加して「生成」。CSPヘッダー案として貼り付け前に監査ツールで確認します。

注意(このツール)

  • この出力はたたき台です。実際の読み込み元(script/style/img/connect)に合わせて調整が必要です。
  • 導入時は Report-Only で検証し、違反ログを見てから本適用するのが安全です。

このページについて

何をするツール?

よくある構成の CSP を素早く作るためのテンプレートを提供します。

切り分け手順(おすすめ)

  • テンプレを選ぶ
  • 必要なドメインを追加
  • CSP Inspect で検証

推奨(実務)

  • まず default-src と script-src を絞る
  • report-only で段階導入
  • unsafe-inline/unsafe-eval は最小限
  • CSP Inspect
  • Security Headers Audit

このツールでできること

  • CSPのテンプレ生成
  • 許可ドメインの追加

注意(運用)

  • 推奨値は環境依存です。機能要件と衝突しないか検証してから適用してください。
  • 本番では段階導入とレポート監視を併用してください。

参照仕様

  • MDN: CSP

FAQ

CSPは最初から厳格にすべきですか?

まず Report-Only で違反を観測し、段階的に強化するのが現実的です。

unsafe-inline を残すと問題ですか?

攻撃面を広げるため、nonce/hash へ移行し最小化するのが推奨です。

参考リンク

  1. MDN: CSP

症状別ケーススタディ(このページ向け)

CSPを構築する初期設計ページです。nonce/hash の方針と directive の最小許可を決めます。

  • script-src と style-src の許可元を最小化する
  • nonce運用かhash運用かを決める
  • unsafe-inline の削減計画を先に立てる

実装時チェックリスト(このページ向け)

  • Report-Only で違反ログを収集してから本適用する
  • テンプレートエンジン側で nonce 注入処理を共通化する
  • サードパーティ読み込み先を棚卸しする
  • CSP変更時に主要画面を回帰テストする

site_map ルールに基づいて、次に確認すべきページを表示しています。

  1. CSP Inspect — CSPディレクティブを分解して評価
  2. CSP Nonce/Hash Helper — CSP用 nonce/hash を生成して照合
  3. CSP Report Analyzer — CSPレポートJSONを解析して違反傾向を把握
  4. Security Headers Fix Plan — 優先度付きの修正ステップを作成
  5. Security Headers Audit — 主要セキュリティヘッダーの有無を一括監査
  6. Security Headers Recommendation — 不足ヘッダーに対する推奨値を提案
  7. HSTS Inspect — HSTS設定を解析してHTTPS強制を確認
  8. Permissions-Policy Inspect — Permissions-Policy を解析して機能制限を確認

セキュリティヘッダー

不足ヘッダーの検出から修正計画まで一気に進める