CSP: trusted-types
HTTP の Content-Security-Policy (CSP) の trusted-types ディレクティブは、既知の DOM XSS シンクの使用を、文字列の代わりにスプーフィング不可能な型付きの値のみを受け入れる定義済みの関数のセットに制限するようにユーザエージェントに指示します。これにより、作者は DOM への値の書き込みを守るルールを定義することができ、 DOM XSS 攻撃の対象をウェブアプリケーションのコードベースの小さな孤立した部分に減らすことができ、監視やコードレビューが容易になります。このディレクティブは、 Trusted Types API から TrustedTypes.createPolicy で作成された信頼できる型のポリシー名のホワイトリストを宣言します。
構文
Content-Security-Policy: trusted-types; Content-Security-Policy: trusted-types <policyName>; Content-Security-Policy: trusted-types <policyName> <policyName> 'allow-duplicates';
- <DOMString>
- Trusted Type ポリシー名とすることができる任意の文字列です。
'allow-duplicates'- ポリシー名が既に使用されていても、生成を許可します。
例
TODO
ポリフィル
A Trusted Types のポリフィルが Github 上で利用できます。
仕様書
| 仕様書 | 状態 | 備考 |
|---|---|---|
| Trusted Types | Draft | 初回定義 |
ブラウザーの互換性
BCD tables only load in the browser
関連情報
Content-Security-Policy- クロスサイトスクリプティング (XSS)
- Google Developers: Intro to Trusted-Types
- Trusted Types with DOMPurify XSS sanitizer