jquery.app
Espanol
EnglishDeutschFrancaisEspanol日本語Nederlands

Herramientas SEO

Gratis Generador de politica CSP para sitios estáticos

Genera una cabecera Content-Security-Policy para sitios estáticos con opciones de CDN, analiticas, fuentes y embebidos.

Cargando herramienta...

Qué es Generador de politica CSP para sitios estáticos?

Content-Security-Policy (CSP) es un encabezado de seguridad del navegador que controla qué recursos puede cargar una página. Ayuda a prevenir cross-site scripting, inyección de datos y otros ataques de inyección de código. Para sitios estáticos, un encabezado CSP puede ser simple y conservador porque la mayoría de las páginas estáticas cargan recursos de orígenes predecibles y controlados.

Respuesta rápida

Una Política de Seguridad de Contenido bloquea ataques de cross-site scripting e inyección de datos al restringir qué recursos puede cargar el navegador. Comience con una política restrictiva y amplíe solo cuando sea necesario.

Last updated: 2026-05-25

Limitaciones

  • CSP no protege contra vulnerabilidades del lado del servidor o bibliotecas de terceros comprometidas ya incluidas en la política.
  • Los manejadores de eventos en línea y las URL javascript: se bloquean a menos que se establezca 'unsafe-inline' o un hash/nonce.
  • GitHub Pages no soporta encabezados HTTP personalizados; use un CSP basado en meta etiqueta en su lugar, que tiene soporte de directivas limitado en comparación con el encabezado HTTP.

Sources:MDN Web Docs · W3C Specifications · jquery.app on GitHub

Cómo usar esta herramienta

  1. Elija un preset que coincida con su tipo de sitio: estático, con CDN, con analíticas o con contenido incrustado.
  2. Revise las directivas generadas y active fuentes adicionales que su sitio necesite.
  3. Copie el encabezado CSP en la configuración de su alojamiento o como una meta etiqueta.
  4. Despliegue primero la versión de solo informe y revise la consola del navegador en busca de violaciones antes de aplicarlo.

Para qué puedes usarla

  • Crear un CSP conservador para un sitio HTML estático simple sin recursos externos.
  • Agregar fuentes de script y font para Google Fonts, Bootstrap CDN o Google Analytics.
  • Preparar un CSP para GitHub Pages que tenga en cuenta el origen de alojamiento.

Casos de uso

Ejemplos prácticos

Ejemplo

CSP para sitio estático simple

Un sitio HTML codificado a mano sin CDN, sin analíticas y sin incrustaciones recibe un CSP mínimo que permite su propio origen para todos los tipos de recursos.

Ejemplo

Sitio estático con CDN y analíticas

Un sitio que usa un CDN de framework CSS, Google Fonts y Google Analytics recibe un CSP que permite esos orígenes mientras bloquea todo lo demás.

Errores comunes

  • Desplegar un CSP en modo enforce sin probarlo primero en modo report-only, lo que puede romper recursos legítimos.
  • Usar 'unsafe-inline' para scripts sin entender que deshabilita la mayor parte de la protección XSS que CSP proporciona.
  • Olvidar agregar el dominio de vista previa de GitHub Pages o el origen CDN a la política, causando que el sitio se rompa en el despliegue.

Verificación

  1. Despliegue el CSP primero en modo report-only usando Content-Security-Policy-Report-Only y revise la consola del navegador en busca de informes de violación.
  2. Cambie al encabezado enforce solo después de confirmar que no se están bloqueando recursos legítimos.

Comparación

CSP vs Permissions-Policy vs Referrer-Policy

AspectContent-Security-PolicyPermissions-PolicyReferrer-Policy
What it controlsWhich resources (scripts, styles, images, fonts) the page can load and from which originsWhich browser features (camera, microphone, geolocation, payment) the page can accessHow much referrer information is sent when the page navigates to or loads a resource from another origin
Example directivesdefault-src 'self'; script-src 'self' cdn.example.com; img-src *camera=(), geolocation=(self), fullscreen=*strict-origin-when-cross-origin, no-referrer, same-origin
Delivered as header or metaBoth. HTTP header is preferred. Meta tag works but does not support frame-ancestors or report-uri.HTTP header only. Meta tag is not supported for Permissions-Policy.Both. Meta tag works and is commonly used for static pages.
What happens if misconfiguredResources are blocked. The page may appear broken with missing styles, scripts, or images.Features silently fail. JavaScript calls to blocked APIs throw without visible browser UI.Referrer data is sent with unintended detail or is missing when analytics need it.

CSP controls resource loading, Permissions-Policy controls feature access, and Referrer-Policy controls referrer data sent to other origins. They are complementary security headers that serve different purposes.

FAQ

Preguntas sobre Generador de politica CSP para sitios estáticos

¿Puede CSP entregarse como una meta etiqueta?

Sí. Use <meta http-equiv="Content-Security-Policy" content="..."> en el head de la página. Tenga en cuenta que algunas directivas como frame-ancestors y report-uri no funcionan en la meta etiqueta.

¿Debería comenzar con el modo de solo informe?

Sí. Despliegue primero con Content-Security-Policy-Report-Only, monitoree la consola del navegador en busca de violaciones, ajuste la política y solo cambie al modo enforce cuando no aparezcan violaciones inesperadas.

¿Cuál es el default-src más seguro para un sitio estático?

default-src 'self' es un punto de partida práctico. Permite recursos del mismo origen y bloquea todo lo demás. Agregue orígenes específicos para CDN, fuentes y analíticas según sea necesario.

¿Cómo permito Google Analytics, Google Fonts o un CDN en CSP?

Agregue el origen específico a la directiva relevante. Para Google Analytics: script-src https://www.googletagmanager.com y connect-src https://www.google-analytics.com. Para Google Fonts: style-src https://fonts.googleapis.com y font-src https://fonts.gstatic.com. Para un CDN como cdnjs: script-src https://cdnjs.cloudflare.com. Despliegue primero en modo report-only para detectar cualquier origen adicional de terceros que su sitio cargue antes de aplicarlo.

Herramientas relacionadas

Más herramientas seo

Prueba también

Prueba también