"Trusted Types 与 CSP：防 DOM XSS 的工程化落地"

概述DOM 型 XSS 常源于将不受控的字符串写入 DOM 注入点（如 `innerHTML`）。Trusted Types 与 CSP 的 `trusted-types`/`require-trusted-types-for` 指令配合，可强制在关键注入点只接受受信类型，缩小攻击面并集中治理高风险路径。关键指令与 API`Content-Security-Policy: require-trusted-types-for 'script'`：禁止字符串写入相关 DOM 注入点，要求受信类型［参考2］。`Content-Security-Policy: trusted-types policyA policyB 'allow-duplicates'`：白名单可创建的策略名，拒绝未允许策略的创建［参考1,3,5］。`trustedTypes.createPolicy(name, { createHTML })`：定义策略转换函数，通常配合 DOMPurify 等做输入消毒后生成 `TrustedHTML`［参考4,2］。实践建议启用 `require-trusted-types-for 'script'`，并逐步在高风险路径创建有限策略，集中审查转换函数。发生违规时触发 `SecurityPolicyViolationEvent`，建立监控与报表；结合 CSP Report-Only 灰度启用。参考与验证［参考1］MDN：`trusted-types` 指令与策略白名单说明：https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Content-Security-Policy/trusted-types［参考2］MDN：`require-trusted-types-for` 指令与注入点强制说明（含 DOMPurify 示例）：https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Content-Security-Policy/require-trusted-types-for［参考3］MDN：`trusted-types` 行为与 `allow-duplicates` 示例：https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/trusted-types［参考4］MDN：Trusted Types API（策略创建与注入点约束）：https://developer.mozilla.org/en-US/docs/Web/API/Trusted_Types_API［参考5］CentralCSP：Trusted Types 与 CSP 联用说明与示例：https://centralcsp.com/docs/trusted-types关键词校验关键词与 Trusted Types/CSP 协作一致。