概述Trusted Types 要求脚本向特定 DOM sink(如 `innerHTML`、`srcdoc`)传入可信对象而非字符串,从而防止危险字符串注入。需在响应头或 CSP 中启用,并在前端注册严格的 policy。用法/示例Content-Security-Policy: require-trusted-types-for 'script'; trusted-types default const policy = trustedTypes.createPolicy('default', { createHTML: (html) => { // 仅允许经过严格 Sanitizer 的内容 const safe = new Sanitizer().sanitizeFor('div', html) return safe } }) const el = document.querySelector('#view') el.innerHTML = policy.createHTML('<b>安全片段</b>') 工程建议policy 必须最小化且审计通过,杜绝宽松放行;结合 Sanitizer 与模板转义链路。在灰度阶段开启 `report-only` 并接入上报;对第三方脚本做适配与隔离。与 CSP(script-src、nonce/hash)与 COOP/COEP 协作,构建整体防护体系。参考与验证MDN:Trusted Types — https://developer.mozilla.org/docs/Web/API/Trusted_Types_APIChrome Docs:Trusted Types — https://developer.chrome.com/docs/web-platform/trusted-types
投稿
微信公众账号
微信扫一扫加关注
评论 返回
顶部
发表评论 取消回复