CSP: trusted-types
Limited availability
This feature is not Baseline because it does not work in some of the most widely-used browsers.
Experimentell: Dies ist eine experimentelle Technologie
Überprüfen Sie die Browser-Kompatibilitätstabelle sorgfältig, bevor Sie diese produktiv verwenden.
Die HTTP Content-Security-Policy (CSP) trusted-types
Experimentell
Direktive weist Benutzeragenten an, die Erstellung von Trusted Types-Policies einzuschränken - Funktionen, die nicht fälschbare, typisierte Werte erstellen, die anstelle von Zeichenfolgen an DOM XSS-Senken übergeben werden sollen.
Zusammen mit der require-trusted-types-for Direktive ermöglicht dies den Autoren, Regeln zu definieren, die das Schreiben von Werten in das DOM schützen und so die Angriffsfläche für DOM XSS auf kleine, isolierte Teile des Webanwendungscodes reduzieren. Dies erleichtert deren Überwachung und Codeüberprüfung. Diese Direktive deklariert eine Positivliste von Trusted Type-Policynamen, die mit trustedTypes.createPolicy aus der Trusted Types API erstellt wurden.
Syntax
Content-Security-Policy: trusted-types;
Content-Security-Policy: trusted-types 'none';
Content-Security-Policy: trusted-types <policyName>;
Content-Security-Policy: trusted-types <policyName> <policyName> 'allow-duplicates';
- <policyName>
-
Ein gültiger Policyname besteht nur aus alphanumerischen Zeichen oder einem der folgenden Zeichen:
-#=_/@.%. Ein Stern (*) als Policyname weist den Benutzeragenten an, jeden eindeutigen Policyname zuzulassen (allow-duplicateskann dies weiter lockern). 'none'-
Verbietet die Erstellung jeglicher Trusted Type-Policy (gleichbedeutend mit dem Weglassen eines <policyName>).
'allow-duplicates'-
Erlaubt die Erstellung von Policies mit einem bereits verwendeten Namen.
Beispiele
// Content-Security-Policy: trusted-types foo bar 'allow-duplicates';
if (typeof trustedTypes !== "undefined") {
const policyFoo = trustedTypes.createPolicy("foo", {});
const policyFoo2 = trustedTypes.createPolicy("foo", {});
const policyBaz = trustedTypes.createPolicy("baz", {}); // Throws and dispatches a SecurityPolicyViolationEvent.
}
Spezifikationen
| Specification |
|---|
| Trusted Types # trusted-types-csp-directive |
Browser-Kompatibilität
BCD tables only load in the browser
Siehe auch
Content-Security-Policy- Cross-Site Scripting (XSS)
- DOM-basierte Cross-Site-Scripting-Schwachstellen mit Trusted Types verhindern
- Trusted Types mit dem DOMPurify XSS-Sanitizer
- Trusted Types Polyfill