Trusted Types
¿Qué es Trusted Types?
Trusted TypesAPI del navegador y directiva CSP que previene el XSS basado en DOM exigiendo que los sumideros peligrosos reciban valores tipados y validados por una politica, no cadenas crudas.
Trusted Types es una defensa disenada por Google y estandarizada en el W3C para eliminar el XSS basado en DOM. Cuando se habilita con las directivas CSP require-trusted-types-for y trusted-types, el navegador rechaza ejecutar sumideros como innerHTML, document.write, eval o script.src si reciben una cadena en bruto. El codigo debe construir objetos tipados (TrustedHTML, TrustedScript, TrustedScriptURL) a traves de politicas nombradas y auditadas. Asi, todas las escrituras peligrosas pasan por una superficie pequena y revisable, eliminando la mayoria de los antiguos sumideros de XSS. Esta desplegado en Google, Bing, Shopify y otros grandes sitios.
● Ejemplos
- 01
Content-Security-Policy: require-trusted-types-for 'script'; trusted-types default;
- 02
Sustituir element.innerHTML = userInput por element.innerHTML = policy.createHTML(userInput).
● Preguntas frecuentes
¿Qué es Trusted Types?
API del navegador y directiva CSP que previene el XSS basado en DOM exigiendo que los sumideros peligrosos reciban valores tipados y validados por una politica, no cadenas crudas. Pertenece a la categoría de Seguridad de aplicaciones en ciberseguridad.
¿Qué significa Trusted Types?
API del navegador y directiva CSP que previene el XSS basado en DOM exigiendo que los sumideros peligrosos reciban valores tipados y validados por una politica, no cadenas crudas.
¿Cómo defenderse de Trusted Types?
Las defensas contra Trusted Types combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.