Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 1307

Trusted Types

Revisado porCybersecurity entrepreneur & security researcher

O que é Trusted Types?

Trusted TypesAPI do navegador e diretiva CSP que evita XSS baseado em DOM exigindo que sinks perigosos recebam valores tipados, validados por politica, em vez de strings cruas.


Trusted Types e uma defesa concebida pela Google e padronizada no W3C para eliminar XSS baseado em DOM. Quando ativada via diretivas CSP require-trusted-types-for e trusted-types, o navegador recusa executar sinks como innerHTML, document.write, eval ou script.src quando recebem uma string crua. O codigo deve construir objetos tipados (TrustedHTML, TrustedScript, TrustedScriptURL) atraves de politicas nomeadas e auditadas. Assim, todas as escritas perigosas no DOM passam por uma superficie pequena e revisavel, eliminando a maioria dos sinks de XSS antigos. Largamente implantada em Google, Bing, Shopify e outros grandes sites.

Exemplos

  1. 01

    Content-Security-Policy: require-trusted-types-for 'script'; trusted-types default;

  2. 02

    Substituir element.innerHTML = userInput por element.innerHTML = policy.createHTML(userInput).

Perguntas frequentes

O que é Trusted Types?

API do navegador e diretiva CSP que evita XSS baseado em DOM exigindo que sinks perigosos recebam valores tipados, validados por politica, em vez de strings cruas. Pertence à categoria Segurança de aplicações da cibersegurança.

O que significa Trusted Types?

API do navegador e diretiva CSP que evita XSS baseado em DOM exigindo que sinks perigosos recebam valores tipados, validados por politica, em vez de strings cruas.

Como se defender contra Trusted Types?

As defesas contra Trusted Types costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.

Termos relacionados

Ver também