"Trusted Types 与 DOMPurify 集成实践：策略与注入点治理"

概述Trusted Types 要求关键注入点仅接受受信类型；结合 DOMPurify 可在转换函数中完成内容消毒并输出 `TrustedHTML`。通过 CSP 的 `trusted-types/require-trusted-types-for` 强制执行策略，集中治理注入点。策略与集成CSP：`trusted-types policyA; require-trusted-types-for 'script'` 指定策略与强制注入点［参考1,2］。策略创建：const policy = trustedTypes.createPolicy('policyA', { createHTML: (html) => DOMPurify.sanitize(html, { RETURN_TRUSTED_TYPE: true }) }) 使用：在渲染时 `el.innerHTML = policy.createHTML(untrustedString)`；或限制到特定渲染管道。注入点治理清点 `innerHTML/outerHTML/insertAdjacentHTML` 与脚本相关属性；逐步替换为策略调用；对不可替换的路径做封装与审计。违规上报：结合 Report-Only 收集 `SecurityPolicyViolationEvent`，修复后再强制。参考与验证［参考1］MDN：`trusted-types` 与 `require-trusted-types-for` 指令说明：https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Content-Security-Policy/trusted-types［参考2］MDN：Trusted Types API 与策略创建说明：https://developer.mozilla.org/en-US/docs/Web/API/Trusted_Types_API［参考3］DOMPurify 文档：消毒与 Trusted Types 支持说明：https://github.com/cure53/DOMPurify#trusted-types-support关键词校验关键词与 Trusted Types 集成一致。