什么是 Trusted Types API，它如何帮助我们从根源上防止 DOM XSS 攻击？

Trusted Types通过强制使用可信对象阻止DOM-based XSS，要求开发者创建策略处理HTML、脚本和URL，结合CSP头可有效拦截危险操作，提升应用安全性。

Trusted Types API 是一种浏览器安全机制，旨在从根源上阻止 DOM-based XSS（跨站脚本）攻击。它的核心思路是：不允许开发者直接将不可信的数据当作可执行的脚本或 HTML 插入到页面中，而是强制要求通过可信类型对象来处理这类敏感操作。

DOM XSS 的常见成因

DOM XSS 发生在 JavaScript 动态操作 DOM 时，把用户输入（如 URL 参数、API 响应）未经充分验证或转义就写入可能导致脚本执行的位置，比如：

• innerHTML：插入 HTML 字符串
• outerHTML：替换整个元素的 HTML
• document.write()：直接写入内容
• location.href、location.assign()：跳转到恶意 URL

例如：

Trusted Types 如何工作

Trusted Types 引入了“信任”的概念。它不允许直接传入字符串到危险的 DOM 操作中，必须使用由策略创建的“受信任对象”（如 TrustedHTML、TrustedScript、TrustedURL）。

开发者需要预先定义策略（policy），用于封装数据处理逻辑。这些策略负责对输入进行清理、转义或验证，并返回一个可信类型实例。

示例：定义一个允许安全 HTML 的策略

使用该策略设置 innerHTML：

码上飞

码上飞（CodeFlying） 是一款AI自动化开发平台，通过自然语言描述即可自动生成完整应用程序。

138

查看详情

如果尝试传入普通字符串，浏览器会抛出 TypeError，从而阻止潜在攻击。

如何启用并强制执行 Trusted Types

仅使用 API 不够，需通过 CSP（Content Security Policy）头来强制启用：

• require-trusted-types-for 'script'：要求所有 DOM 数据操作必须使用可信类型
• trusted-types 后列出允许的策略名：限制只能使用声明过的策略

一旦启用，任何绕过策略的赋值操作都会被拦截，大幅降低误用风险。

实际优势与注意事项

Trusted Types 的最大价值在于“防御纵深”——即使开发人员疏忽，也不会轻易引入漏洞。它把安全控制从“靠人写对代码”转变为“系统强制校验”。

• 有效防止模板注入、动态拼接 HTML 导致的 XSS
• 与现有清理库（如 DOMPurify）结合更安全
• 可在大型团队中统一安全策略
• 现代浏览器支持良好（Chrome、Edge、Firefox 等）

需要注意的是，不能完全依赖它替代输入验证和输出编码，而应作为整体安全架构的一部分。

基本上就这些。Trusted Types 不复杂但容易忽略，关键是配合 CSP 使用才能真正发挥防护作用。

以上就是什么是 Trusted Types API，它如何帮助我们从根源上防止 DOM XSS 攻击？的详细内容，更多请关注php中文网其它相关文章！