Content-Security-Policy: trusted-types directive
Limited availability
This feature is not Baseline because it does not work in some of the most widely-used browsers.
Die HTTP-Direktive Content-Security-Policy (CSP) trusted-types weist Benutzeragenten an, die Erstellung von Trusted Types-Richtlinien einzuschränken - Funktionen, die nicht manipulierbare, typisierte Werte erstellen, die anstelle von Zeichenfolgen an DOM XSS-Senken übergeben werden sollen.
Zusammen mit der require-trusted-types-for Direktive ermöglicht dies den Autoren, Regeln zu definieren, die das Schreiben von Werten an das DOM überwachen, und somit die DOM XSS-Angriffsfläche auf kleine, isolierte Teile des Webanwendungscodes zu reduzieren, was deren Überwachung und Codeüberprüfung erleichtert. Diese Direktive deklariert eine Weiße Liste von Namen vertrauenswürdiger Typenrichtlinien, die mit trustedTypes.createPolicy der Trusted Types API erstellt wurden.
Syntax
Content-Security-Policy: trusted-types;
Content-Security-Policy: trusted-types 'none';
Content-Security-Policy: trusted-types <policyName>;
Content-Security-Policy: trusted-types <policyName> <policyName> 'allow-duplicates';
- <policyName>
-
Ein gültiger Richtlinienname besteht nur aus alphanumerischen Zeichen oder einem der
-#=_/@.%. Ein Sternchen (*) als Richtlinienname weist den Benutzeragenten an, einen beliebigen eindeutigen Richtliniennamen zuzulassen (allow-duplicateskann dies weiter lockern). 'none'-
Verhindert die Erstellung einer Trusted Types-Richtlinie (entspricht dem Nicht-Angeben eines <policyName>).
'allow-duplicates'-
Erlaubt das Erstellen von Richtlinien mit einem bereits verwendeten Namen.
Beispiele
// Content-Security-Policy: trusted-types foo bar 'allow-duplicates';
if (typeof trustedTypes !== "undefined") {
const policyFoo = trustedTypes.createPolicy("foo", {});
const policyFoo2 = trustedTypes.createPolicy("foo", {});
const policyBaz = trustedTypes.createPolicy("baz", {}); // Throws and dispatches a SecurityPolicyViolationEvent.
}
Spezifikationen
| Specification |
|---|
| Trusted Types # trusted-types-csp-directive |