Trusted Types.

DOM ベースの XSS を防ぐためのブラウザ API と CSP ディレクティブ。危険な DOM シンクには生文字列ではなく、ポリシーで検証された型付き値しか渡せなくする。 サイバーセキュリティの アプリケーションセキュリティ カテゴリに属します。

DOM ベースの XSS を防ぐためのブラウザ API と CSP ディレクティブ。危険な DOM シンクには生文字列ではなく、ポリシーで検証された型付き値しか渡せなくする。

Trusted Types は Google が設計し W3C で標準化された、DOM ベース XSS を根絶するための仕組みです。CSP の require-trusted-types-for と trusted-types を有効化すると、ブラウザは innerHTML、document.write、eval、script.src などのシンクに生の文字列を渡す呼び出しを拒否します。コードは名前付きで監査済みのポリシーを通じて TrustedHTML、TrustedScript、TrustedScriptURL などの型付きオブジェクトを生成する必要があります。これにより危険な DOM 書き込みは小さく監査可能な経路に集約され、レガシーな XSS シンクの大半を排除できます。Google、Bing、Shopify などの大規模サイトで広く運用されています。

Trusted Types に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。