Trusted Types API 强制防御 XSS 攻击详解

Trusted Types API 是一种从浏览器底层强制拦截 XSS 攻击的深度防御机制，它绝非简单引入 JS 库即可生效，而是必须通过服务端配置严格的 CSP 响应头（如 `require-trusted-types-for 'script'`）、定义覆盖所有高危注入点的可信策略（如 `createHTML`、`createScriptURL` 等），并系统性改造全部动态 DOM 操作路径——任何未经策略包装的字符串赋值都会被浏览器直接拒绝并抛出错误；这种“零容忍”的闭环设计，将 XSS 防御从依赖开发者自觉升级为由浏览器强制执行的安全基线，真正实现从源头堵死脚本注入漏洞。

Trusted Types 不是加个 JS 库就能起作用的防御手段，它是一套需要从 HTTP 层、策略层、调用层三者协同的底层重构方案。真正起效的前提，是让浏览器“拒绝执行任何未经信任包装的字符串赋值”，这必须通过强制策略 + 可信对象 + 严格 CSP 三者闭环实现。

必须通过 HTTP 响应头启用强制模式

仅在 JS 中调用 window.TrustedTypes.createPolicy() 完全无效——浏览器不会拦截危险操作。只有服务端返回以下响应头，浏览器才会启动校验机制：

• Content-Security-Policy: require-trusted-types-for 'script'; trusted-types default;
• trusted-types 后必须声明至少一个策略名（如 default），否则 TrustedHTML 构造失败时直接抛错，不降级
• require-trusted-types-for 'script' 锁死所有脚本/HTML 相关 DOM API：innerHTML、outerHTML、document.write、eval、location.href、DOMParser.parseFromString 等
• 该指令不支持 meta 标签，必须由后端或 CDN 配置 HTTP 头

定义可信策略：覆盖全部高危注入点

策略不是可选插件，而是 DOM 操作的唯一合法入口。每个策略需对应具体风险场景，官方定义了 5 类标准方法：

• createHTML：处理 innerHTML / outerHTML / document.write
• createScript：处理 eval / setTimeout(string) / script.text
• createScriptURL：处理 script.src / location.href / location.assign
• createStyleSheet：处理 style.cssText / styleSheet.cssRules
• createURL：处理 iframe.src / img.src / a.href（非脚本上下文）

示例：为 HTML 注入创建带净化逻辑的策略

if (window.TrustedTypes) {
  window.TrustedTypes.createPolicy('htmlPolicy', {
    createHTML: (input) => {
      // 实际项目中应使用 DOMPurify 等专业库
      return DOMPurify.sanitize(input, { ALLOWED_TAGS: ['b', 'i', 'p'] });
    }
  });
}

改造所有动态 DOM 操作路径

启用 Trusted Types 后，任何漏掉策略包装的赋值都会触发 TypeError。这意味着必须系统性扫描并替换所有高危写法：

• el.innerHTML = userInput → el.innerHTML = policy.createHTML(userInput)
• location.href = url → location.href = policy.createScriptURL(url)
• script.src = src → script.src = policy.createScriptURL(src)
• 第三方库（如富文本编辑器、图表库）若直接操作 innerHTML，需确认其是否已适配 Trusted Types；否则需封装 wrapper 或升级到兼容版本

开发与上线分阶段推进

全量切换风险高，建议按阶段落地：

• 开发期：用 Content-Security-Policy-Report-Only 收集违规行为，不阻断页面，但上报所有绕过策略的赋值
• 灰度期：对部分路由或用户群开启强制模式，监控错误率和功能异常
• 上线后：保留 report-uri，持续捕获未覆盖的边缘路径（如动态 import 的 script 标签、Web Component 生命周期中的 innerHTML 调用）

好了，本文到此结束，带大家了解了《Trusted Types API 强制防御 XSS 攻击详解》，希望本文对你有所帮助！关注golang学习网公众号，给大家分享更多文章知识！