HTML-tools

Gratis CSP Hash Generator

Genereer CSP-hashwaarden voor inline scripts en styles. Hash exacte code met SHA-256, SHA-384 of SHA-512.

Tool laden...

Wat is CSP Hash Generator?

Een CSP-hash is een base64-gecodeerde SHA-256, SHA-384 of SHA-512 digest van de exacte inhoud van een inline script- of styleblok. Wanneer u de hash toevoegt aan uw CSP-header als script-src 'sha256-...' of style-src 'sha256-...', staat de browser toe dat die specifieke inline code wordt uitgevoerd terwijl alle andere inline scripts of stijlen worden geblokkeerd. Dit is het veiligste alternatief voor 'unsafe-inline'.

Snel antwoord

Gebruik een CSP-hash om een specifiek inline script of stijl toe te staan zonder alle inline code in te schakelen met unsafe-inline. De hash is een cryptografische digest van de exacte code-inhoud - SHA-256 is de standaard. Voeg de hash toe aan uw CSP als script-src 'sha256-...' of style-src 'sha256-...'.

Last updated: 2026-05-28

Beperkingen

  • De hash is alleen geldig voor de exacte inhoud die is gehasht. Elke witruimte-, opmaak- of inhoudswijziging produceert een volledig andere hash en verbreekt de CSP-toelatingslijst.
  • Sommige build-tools en HTML-minifiers kunnen inline witruimte in productie wijzigen, waardoor hashes die zijn gegenereerd uit ontwikkelcode ongeldig worden. Verifieer tegen productie-uitvoer.
  • CSP-hashes werken niet met inline event handlers (onclick, onerror) zonder het inschakelen van unsafe-hashes, wat de beveiliging aanzienlijk verzwakt.

Sources:MDN Web Docs · W3C Specifications · jquery.app on GitHub

Zo gebruik je deze tool

  1. Kopieer de exacte inline script- of style-inhoud uit uw HTML - elke spatie, nieuwe regel en inspringing moet overeenkomen.
  2. Plak het in het tekstveld en selecteer het hash-algoritme.
  3. Kopieer de hash-waarde en voeg deze toe aan uw CSP-header of meta-tag als onderdeel van script-src of style-src.

Waarvoor je het kunt gebruiken

  • Sta een specifiek inline script toe voor een kritieke loader of analytics snippet zonder alle inline scripts in te schakelen.
  • Sta een klein inline styleblok toe voor above-the-fold kritieke CSS terwijl een stylesheet laadt.
  • Upgrade een bestaande CSP die unsafe-inline gebruikt naar hash-gebaseerde toelatingslijsten voor sterkere beveiliging.

Gebruik

Praktische voorbeelden

Voorbeeld

Kritieke inline stijl

Een pagina heeft een kleine inline stijl nodig voor het hero-gedeelte above the fold. Hash het exacte stijlblok, voeg style-src 'sha256-...' toe aan de CSP en verwijder unsafe-inline. De browser voert alleen dit specifieke stijlblok uit.

Voorbeeld

Inline analytics boot-script

Een privacy-gerichte site laadt een klein analytics boot-script inline. Hash het script, voeg script-src 'sha256-...' toe en blokkeer alle andere inline scripts, inclusief scripts die mogelijk zijn geïnjecteerd door gecompromitteerde third-party bronnen.

Veelgemaakte fouten

  • Zelfs één witruimteteken wijzigen na het genereren van de hash - de hash komt niet meer overeen en het script of de stijl wordt geblokkeerd.
  • Dezelfde hash gebruiken voor geminificeerde en niet-geminificeerde versies van dezelfde code - ze produceren verschillende hashes.
  • Aannemen dat een hash uit een ontwikkelomgeving overeenkomt met de productie-build - codeminificatie of templating verandert de inhoud.

Verificatie

  1. Controleer de browserconsole op CSP-overtredingsrapporten na het toevoegen van de hash - een geblokkeerd script of stijl toont een overtredingsmelding met de verwachte hash.
  2. Gebruik het DevTools Applicatiepaneel of het Beveiligingstabblad om het actieve CSP-beleid te inspecteren en te bevestigen dat uw hash wordt herkend.

FAQ

Vragen over CSP Hash Generator

Waarom werkt mijn hash niet meer nadat ik de inline code heb bewerkt?

De hash is een cryptografische digest van de exacte bytereeks van de inline code. Elke wijziging - het toevoegen van een spatie, het wijzigen van inspringing, het toevoegen van een opmerking of het wijzigen van een enkel teken - produceert een volledig andere hash. U moet de hash opnieuw genereren elke keer dat u de inline code wijzigt. Dit is ontworpen om ervoor te zorgen dat alleen de exacte code die u hebt goedgekeurd kan worden uitgevoerd.

Moet ik een hash of een nonce gebruiken voor CSP?

Hashes zijn het beste voor statische inline code die zelden verandert, zoals kritieke CSS of een klein boot-script. Nonces zijn beter voor dynamisch gegenereerde inline code omdat een nonce bij elke paginalading verandert, terwijl een hash opnieuw zou moeten worden berekend voor elke unieke uitvoer. Voor statische sites zijn hashes eenvoudiger omdat ze geen server-side nonce-generatie vereisen.

Wat is unsafe-hashes en moet ik het inschakelen?

unsafe-hashes maakt het mogelijk om hashes toe te passen op inline event handlers (onclick, onerror, enz.) en javascript: URL's. Dit is gevaarlijk omdat event handlers vaak gebruikersbeïnvloede waarden bevatten. Schakel unsafe-hashes alleen in als u volledige controle heeft over elk event handler-attribuut en begrijpt dat een hash-match op een event handler scriptinjectie mogelijk kan maken als gebruikersinvoer de attribuutwaarde bereikt.

Gerelateerde tools

Meer html-tools

Probeer ook

Probeer ook