Trusted Types通过强制使用可信对象阻止DOM-based XSS,要求开发者创建策略处理HTML、脚本和URL,结合CSP头可有效拦截危险操作,提升应用安全性。
Trusted Types API 是一种浏览器安全机制,旨在从根源上阻止 DOM-based XSS(跨站脚本)攻击。它的核心思路是:不允许开发者直接将不可信的数据当作可执行的脚本或 HTML 插入到页面中,而是强制要求通过可信类型对象来处理这类敏感操作。
DOM XSS 的常见成因
DOM XSS 发生在 JavaScript 动态操作 DOM 时,把用户输入(如 URL 参数、API 响应)未经充分验证或转义就写入可能导致脚本执行的位置,比如:
- innerHTML:插入 HTML 字符串
- outerHTML:替换整个元素的 HTML
- document.write():直接写入内容
- location.href、location.assign():跳转到恶意 URL
例如:
element.innerHTML = userInput; // 危险!userInput 可能包含Trusted Types 如何工作
Trusted Types 引入了“信任”的概念。它不允许直接传入字符串到危险的 DOM 操作中,必须使用由策略创建的“受信任对象”(如 TrustedHTML、TrustedScript、TrustedURL)。
开发者需要预先定义策略(policy),用于封装数据处理逻辑。这些策略负责对输入进行清理、转义或验证,并返回一个可信类型实例。
示例:定义一个允许安全 HTML 的策略
if (window.TrustedTypes && !window.TrustedTypes.createPolicy('defaultPolicy')) { window.TrustedTypes.createPolicy('htmlPolicy', { createHTML: (input) => { // 简单示例:仅允许特定标签,实际应用应使用 DOMPurify 等库 return input.replace(/使用该策略设置 innerHTML:
const policy = window.TrustedTypes.getPolicyByName('htmlPolicy'); element.innerHTML = policy.createHTML('Hello'); // 结果:Hello,脚本被过滤
如果尝试传入普通字符串,浏览器会抛出 TypeError,从而阻止潜在攻击。
如何启用并强制执行 Trusted Types
仅使用 API 不够,需通过 CSP(Content Security Policy)头来强制启用:
Content-Security-Policy: require-trusted-types-for 'script'; trusted-types htmlPolicy defaultPolicy;- require-trusted-types-for 'script':要求所有 DOM 数据操作必须使用可信类型
- trusted-types 后列出允许的策略名:限制只能使用声明过的策略
一旦启用,任何绕过策略的赋值操作都会被拦截,大幅降低误用风险。
实际优势与注意事项
Trusted Types 的最大价值在于“防御纵深”——即使开发人员疏忽,也不会轻易引入漏洞。它把安全控制从“靠人写对代码”转变为“系统强制校验”。
- 有效防止模板注入、动态拼接 HTML 导致的 XSS
- 与现有清理库(如 DOMPurify)结合更安全
- 可在大型团队中统一安全策略
- 现代浏览器支持良好(Chrome、Edge、Firefox 等)
需要注意的是,不能完全依赖它替代输入验证和输出编码,而应作为整体安全架构的一部分。
基本上就这些。Trusted Types 不复杂但容易忽略,关键是配合 CSP 使用才能真正发挥防护作用。
