CSP: trusted-types

HTTP の Content-Security-Policy (CSP) の trusted-types ディレクティブは、既知の DOM XSS シンクの使用を、文字列の代わりにスプーフィング不可能な型付きの値のみを受け入れる定義済みの関数のセットに制限するようにユーザエージェントに指示します。これにより、作者は DOM への値の書き込みを守るルールを定義することができ、 DOM XSS 攻撃の対象をウェブアプリケーションのコードベースの小さな孤立した部分に減らすことができ、監視やコードレビューが容易になります。このディレクティブは、 Trusted Types API から TrustedTypes.createPolicy で作成された信頼できる型のポリシー名のホワイトリストを宣言します。

構文

Content-Security-Policy: trusted-types;
Content-Security-Policy: trusted-types <policyName>;
Content-Security-Policy: trusted-types <policyName> <policyName> 'allow-duplicates';
<DOMString>
Trusted Type ポリシー名とすることができる任意の文字列です。
'allow-duplicates'
ポリシー名が既に使用されていても、生成を許可します。

TODO

ポリフィル

A Trusted Types のポリフィルが Github 上で利用できます。

仕様書

仕様書 状態 備考
Trusted Types Draft 初回定義

ブラウザーの互換性

BCD tables only load in the browser

関連情報