jquery.app
Francais
EnglishDeutschFrancaisEspanol日本語Nederlands

Outils HTML

Gratuit Générateur de hash CSP

Générez des valeurs de hash CSP pour les scripts et styles inline. Hachez le code exact avec SHA-256, SHA-384 ou SHA-512.

Chargement de l'outil...

Qu'est-ce que Générateur de hash CSP ?

Un hash CSP est un digest SHA-256, SHA-384 ou SHA-512 encode en base64 du contenu exact d'un bloc de script ou de style en ligne. Lorsque vous ajoutez le hash a votre en-tete CSP comme script-src 'sha256-...' ou style-src 'sha256-...', le navigateur autorise ce code en ligne specifique tout en bloquant tous les autres scripts ou styles en ligne. C'est l'alternative la plus securisee a 'unsafe-inline'.

Réponse rapide

Utilisez un hash CSP pour autoriser un script ou style en ligne specifique sans activer tout le code en ligne avec unsafe-inline. Le hash est un digest cryptographique du contenu exact du code - SHA-256 est la norme. Ajoutez le hash a votre CSP comme script-src 'sha256-...' ou style-src 'sha256-...'.

Last updated: 2026-05-28

Limites

  • Le hash n'est valide que pour le contenu exact hache. Tout changement d'espacement, formatage ou contenu produit un hash completement different.
  • Certains outils de build et minifieurs HTML peuvent modifier les espaces en ligne en production, invalidant les hashs generes a partir du code de developpement.
  • Les hashs CSP ne fonctionnent pas avec les gestionnaires d'evenements en ligne (onclick, onerror) sans activer unsafe-hashes.

Sources:MDN Web Docs · W3C Specifications · jquery.app on GitHub

Comment utiliser cet outil

  1. Copiez le contenu exact du script ou style en ligne depuis votre HTML - chaque espace, saut de ligne et indentation doit correspondre.
  2. Collez-le dans la zone de texte et selectionnez l'algorithme de hash.
  3. Copiez la valeur du hash et ajoutez-la a votre en-tete CSP ou balise meta dans script-src ou style-src.

A quoi il sert

  • Autoriser un script en ligne specifique pour un chargeur de chemin critique ou un extrait d'analyse sans activer tous les scripts en ligne.
  • Autoriser un petit bloc de style en ligne pour le CSS critique au-dessus de la ligne pendant le chargement d'une feuille de style.
  • Mettre a niveau un CSP existant utilisant unsafe-inline vers une liste blanche basee sur les hashs pour une securite renforcee.

Cas d'usage

Exemples concrets

Exemple

Style en ligne de chemin critique

Une page a besoin d'un petit style en ligne pour la section hero au-dessus de la ligne. Hachez le bloc de style exact, ajoutez style-src 'sha256-...' au CSP et supprimez unsafe-inline.

Exemple

Script de demarrage d'analyse en ligne

Un site axe sur la vie privee charge en ligne un petit script de demarrage d'analyse. Hachez le script, ajoutez script-src 'sha256-...' et bloquez tous les autres scripts en ligne.

Erreurs frequentes

  • Modifier ne serait-ce qu'un caractere d'espacement apres avoir genere le hash - le hash ne correspondra plus et le script ou style sera bloque.
  • Utiliser le meme hash pour les versions minifiee et non minifiee du meme code - elles produisent des hashs differents.
  • Presupposer qu'un hash d'un environnement de developpement correspond a la version de production - la minification du code modifie le contenu.

Vérification

  1. Verifiez la console du navigateur pour les rapports de violation CSP apres avoir ajoute le hash.
  2. Utilisez le panneau Application ou Securite des outils de developpement pour inspecter la politique CSP active.

FAQ

Questions sur Générateur de hash CSP

Pourquoi mon hash cesse-t-il de fonctionner apres avoir modifie le code en ligne ?

Le hash est un digest cryptographique de la sequence exacte d'octets du code en ligne. Tout changement produit un hash completement different. Vous devez regenerer le hash a chaque modification du code en ligne.

Dois-je utiliser un hash ou un nonce pour CSP ?

Les hashs sont meilleurs pour le code en ligne statique qui change rarement. Les nonces sont meilleurs pour le code en ligne dynamique car un nonce change a chaque chargement de page. Pour les sites statiques, les hashs sont plus simples.

Qu'est-ce que unsafe-hashes et dois-je l'activer ?

unsafe-hashes permet d'appliquer des hashs aux gestionnaires d'evenements en ligne (onclick, onerror) et aux URLs javascript:. C'est dangereux car les gestionnaires d'evenements contiennent souvent des valeurs influencees par l'utilisateur.

Outils lies

Autres outils outils html

A essayer aussi

A essayer aussi