Trusted Types前端防DOM XSS治理

Trusted Types前端防DOM XSS治理概览Trusted Types 要求敏感 DOM API 仅接受受信类型，防止未经处理的字符串注入。与 CSP 协同启用与报告，逐步改造代码路径。技术参数（已验证）启用：`Content-Security-Policy: require-trusted-types-for 'script'; trusted-types app default`。适配：为 `innerHTML`、`insertAdjacentHTML` 等路径引入工厂与清洗；使用 Sanitizer 或模板引擎。报告与渐进：先启用报告模式收集违规；再强制执行；维护白名单极少数例外。兼容与降级：旧浏览器使用 polyfill；保持功能与安全兼顾。观测：记录违规来源与修复进度；纳入安全看板。实战清单梳理敏感 API 使用点；以受信工厂替换字符串注入。结合 CSP 与代码审查；在发布中强制与回退策略。文档化迁移与例外管理；保持最小例外。