概述Trusted Types 通过限制危险 DOM 接口只能接受受信的类型(非任意字符串),从根本上减少脚本注入面。配合 CSP 的 `require-trusted-types-for 'script'` 与策略白名单,可在大型前端中渐进实施。关键点(已验证)风险接口:`innerHTML`、`outerHTML`、`insertAdjacentHTML`、`Range.createContextualFragment` 等被纳入管控(来源)强制策略:CSP 可要求脚本必须使用 Trusted Types;未包装的字符串赋值将抛出错误(来源)工厂白名单:注册 `TrustedTypePolicy` 工厂,集中审计危险字符串的构造流程(来源)落地建议先审计后封禁:启用 Report-Only 收集违例,再逐步开启强制策略框架适配:在模板渲染层避免直接拼接 HTML;为必须的 HTML 构造走审核工厂示例策略Content-Security-Policy: require-trusted-types-for 'script'; trusted-types app-policy dompurify default
投稿
微信公众账号
微信扫一扫加关注
评论 返回
顶部
发表评论 取消回复