如何利用 Trusted Types API 在底层重构逻辑以强制防御 DOM 型 XSS 攻击

哈喽！今天心血来潮给大家带来了《如何利用 Trusted Types API 在底层重构逻辑以强制防御 DOM 型 XSS 攻击》，想必大家应该对文章都不陌生吧，那么阅读本文就都不会很困难，以下内容主要涉及到，若是你正在学习文章，千万别错过这篇文章~希望能帮助到你！

Trusted Types 是需HTTP头、策略定义、调用改造三者协同的底层防御方案；必须通过CSP响应头启用强制模式，定义策略并改造所有DOM操作路径。

Trusted Types 不是加个 JS 库就能起作用的防御手段，它是一套需要从 HTTP 层、策略层、调用层三者协同的底层重构方案。真正起效的前提，是让浏览器“拒绝执行任何未经信任包装的字符串赋值”，这必须通过强制策略 + 可信对象 + 严格 CSP 三者闭环实现。

必须通过 HTTP 响应头启用强制模式

仅在 JS 中调用 window.TrustedTypes.createPolicy() 完全无效——浏览器不会拦截危险操作。只有服务端返回以下响应头，浏览器才会启动校验机制：

• Content-Security-Policy: require-trusted-types-for 'script'; trusted-types default;
• trusted-types 后必须声明至少一个策略名（如 default），否则 TrustedHTML 构造失败时直接抛错，不降级
• require-trusted-types-for 'script' 锁死所有脚本/HTML 相关 DOM API：innerHTML、outerHTML、document.write、eval、location.href、DOMParser.parseFromString 等
• 该指令不支持 meta 标签，必须由后端或 CDN 配置 HTTP 头

定义可信策略：覆盖全部高危注入点

策略不是可选插件，而是 DOM 操作的唯一合法入口。每个策略需对应具体风险场景，官方定义了 5 类标准方法：

• createHTML：处理 innerHTML / outerHTML / document.write
• createScript：处理 eval / setTimeout(string) / script.text
• createScriptURL：处理 script.src / location.href / location.assign
• createStyleSheet：处理 style.cssText / styleSheet.cssRules
• createURL：处理 iframe.src / img.src / a.href（非脚本上下文）

示例：为 HTML 注入创建带净化逻辑的策略

if (window.TrustedTypes) {
  window.TrustedTypes.createPolicy('htmlPolicy', {
    createHTML: (input) => {
      // 实际项目中应使用 DOMPurify 等专业库
      return DOMPurify.sanitize(input, { ALLOWED_TAGS: ['b', 'i', 'p'] });
    }
  });
}

改造所有动态 DOM 操作路径

启用 Trusted Types 后，任何漏掉策略包装的赋值都会触发 TypeError。这意味着必须系统性扫描并替换所有高危写法：

• el.innerHTML = userInput → el.innerHTML = policy.createHTML(userInput)
• location.href = url → location.href = policy.createScriptURL(url)
• script.src = src → script.src = policy.createScriptURL(src)
• 第三方库（如富文本编辑器、图表库）若直接操作 innerHTML，需确认其是否已适配 Trusted Types；否则需封装 wrapper 或升级到兼容版本

开发与上线分阶段推进

全量切换风险高，建议按阶段落地：

• 开发期：用 Content-Security-Policy-Report-Only 收集违规行为，不阻断页面，但上报所有绕过策略的赋值
• 灰度期：对部分路由或用户群开启强制模式，监控错误率和功能异常
• 上线后：保留 report-uri，持续捕获未覆盖的边缘路径（如动态 import 的 script 标签、Web Component 生命周期中的 innerHTML 调用）

终于介绍完啦！小伙伴们，这篇关于《如何利用 Trusted Types API 在底层重构逻辑以强制防御 DOM 型 XSS 攻击》的介绍应该让你收获多多了吧！欢迎大家收藏或分享给更多需要学习的朋友吧~golang学习网公众号也会发布文章相关知识，快来关注吧！