当前位置:首页 > 文章列表 > 文章 > 前端 > Trusted Types 详解:彻底防御 innerHTML XSS 漏洞

Trusted Types 详解:彻底防御 innerHTML XSS 漏洞

2026-05-22 21:45:41 0浏览 收藏
Trusted Types 并非万能的 XSS“净化器”,而是一种通过强制策略封装来阻断未受控 innerHTML 等高危 DOM 操作的运行时防护机制——它只有在正确配置 CSP 响应头(require-trusted-types-for + trusted-types)、策略提前加载且全覆盖所有 sink(如 outerHTML、insertAdjacentHTML、document.write 等)、且策略本身不越界执行过滤或动态代码的前提下,才能真正发挥效力;实践中应优先用 textContent 或预编译模板规避风险,将 Trusted Types 视为最后一道防线而非替代安全编码习惯的捷径。

如何利用 Trusted Types 彻底消除由于 innerHTML 引起的原始 XSS 漏洞

Trusted Types 不能“彻底消除” innerHTML 引起的原始 XSS 漏洞,但它能强制阻断所有未经策略封装的字符串赋值行为——前提是 CSP 头正确启用、策略覆盖到位、且无间接调用逃逸。

必须配对 CSP 响应头才能生效

仅在 JS 中调用 trustedTypes.createPolicy() 完全不产生防护效果。浏览器只在收到以下 HTTP 响应头后才开启运行时拦截:

  • Content-Security-Policy: require-trusted-types-for 'script'; trusted-types default;
  • trusted-types default 中的 default 是必需策略名,不可省略;否则 TrustedHTML 构造失败直接抛错,不降级
  • 该头只能通过 HTTP 响应头设置,meta 标签无效
  • 开发阶段可用 Content-Security-Policy-Report-Only 先收集违规日志,避免上线报错中断功能

策略函数里不做 HTML 过滤

把 Trusted Types 当成“自动净化器”是典型误区。策略中写正则替换、DOMPurify.sanitize 或白名单解析,既易被绕过,又拖慢主线程。正确做法是:

  • 优先改用 textContent 替代 innerHTML —— 大部分场景根本不需要渲染 HTML
  • 必须插 HTML 时,用预编译模板(如 Lit 的 html tag)或服务端净化后传入
  • 若需客户端动态构造,策略中只做最小转义(如 input.replace(/&/g, '&')),并明确知道它不防标签注入
  • 策略返回的是字符串,Trusted Types 内部会自动包装为 TrustedHTML 对象,无需手动 new

全覆盖所有 innerHTML 类 sink

innerHTML 只是冰山一角。以下操作同样触发拦截,但常被遗漏:

  • el.outerHTML = htmlString → 必须用 policy.createHTML()
  • el.insertAdjacentHTML('beforeend', htmlString) → 同样拦截
  • document.write(htmlString)document.writeln()
  • location.href = 'javascript:...'(属于 'script' 类别)
  • 框架内部调用(如 React 的 dangerouslySetInnerHTML)是否受控,取决于框架版本是否适配 Trusted Types

防止策略被绕过的关键细节

以下写法会让整个机制完全失效:

  • el.setAttribute('innerHTML', ...) —— 属性名非法,不触发拦截
  • 通过 shadowRoot.innerHTML(旧版浏览器可能未覆盖)
  • 策略函数返回原始字符串,但未启用 CSP 或策略名未在 trusted-types 指令中声明
  • 在策略中调用 evalnew Function 或拼接后 return 字符串
  • 加载策略 JS 脚本前,已有代码执行了 innerHTML 赋值(策略必须早于所有 DOM 操作)

好了,本文到此结束,带大家了解了《Trusted Types 详解:彻底防御 innerHTML XSS 漏洞》,希望本文对你有所帮助!关注golang学习网公众号,给大家分享更多文章知识!

泛型方法+方法引用,打造类型安全异步任务分发脚手架泛型方法+方法引用,打造类型安全异步任务分发脚手架
上一篇
泛型方法+方法引用,打造类型安全异步任务分发脚手架
抖音粉丝团勋章设置方法 抖音加入粉丝团及升级攻略
下一篇
抖音粉丝团勋章设置方法 抖音加入粉丝团及升级攻略
查看更多
最新文章
查看更多
课程推荐
  • 前端进阶之JavaScript设计模式
    前端进阶之JavaScript设计模式
    设计模式是开发人员在软件开发过程中面临一般问题时的解决方案,代表了最佳的实践。本课程的主打内容包括JS常见设计模式以及具体应用场景,打造一站式知识长龙服务,适合有JS基础的同学学习。
    543次学习
  • GO语言核心编程课程
    GO语言核心编程课程
    本课程采用真实案例,全面具体可落地,从理论到实践,一步一步将GO核心编程技术、编程思想、底层实现融会贯通,使学习者贴近时代脉搏,做IT互联网时代的弄潮儿。
    516次学习
  • 简单聊聊mysql8与网络通信
    简单聊聊mysql8与网络通信
    如有问题加微信:Le-studyg;在课程中,我们将首先介绍MySQL8的新特性,包括性能优化、安全增强、新数据类型等,帮助学生快速熟悉MySQL8的最新功能。接着,我们将深入解析MySQL的网络通信机制,包括协议、连接管理、数据传输等,让
    500次学习
  • JavaScript正则表达式基础与实战
    JavaScript正则表达式基础与实战
    在任何一门编程语言中,正则表达式,都是一项重要的知识,它提供了高效的字符串匹配与捕获机制,可以极大的简化程序设计。
    487次学习
  • 从零制作响应式网站—Grid布局
    从零制作响应式网站—Grid布局
    本系列教程将展示从零制作一个假想的网络科技公司官网,分为导航,轮播,关于我们,成功案例,服务流程,团队介绍,数据部分,公司动态,底部信息等内容区块。网站整体采用CSSGrid布局,支持响应式,有流畅过渡和展现动画。
    485次学习
查看更多
AI推荐
  • ljg-skills -
    ljg-skills
    ljg-skills 是李继刚开源的 AI 技能与提示词集合,面向大模型使用者整理了一批可复用的 prompt、角色设定和任务技能模板,适合用于学习提示词设计、搭建个人 AI 工作流和沉淀团队常用智能体能力。
    3886次使用
  • MELO音乐 - AI 音乐生成平台,支持多模态创作能力
    MELO音乐
    MELO音乐是一站式AI视频与音乐制作助手,对标suno, udio的高品质体验。提供伴奏生成、原创写词、无损导出、哼唱识曲、混音变声等全套音频与短视频编辑工具。无论是流行Kpop、电音说唱、民谣古风、摇滚儿歌还是商用轻音乐,MELO为你免费谱曲,轻松做同款!
    3595次使用
  • UniScribe - AI 免费在线音视频转文字平台
    UniScribe
    UniScribe 是一款 AI 音视频转文字与内容整理工具,支持上传音频、视频文件或粘贴 YouTube 链接,自动生成转写文本、摘要、思维导图和关键问题,并支持多格式导出,适合会议记录、课程学习、访谈整理和内容创作复盘。
    3576次使用
  • 剧云 - 免费 AI 智能中文剧本创作平台
    剧云
    剧云是专业中文剧本创作平台,安全稳定运行十余年,集成AI编剧、剧本医生审核、人物小传、剧情关系图、大纲编写、多人协作、Word导入导出、版权管控功能,数据安全防护,轻松高效创作剧本。
    3764次使用
  • 万象有声 - AI 一站式有声内容创作平台
    万象有声
    万象有声,一个专为有声创作者打造的新一代智能有声内容创作平台。平台提供专业的智能拆章、智能画本编辑、AI配音、AI生成音效、后期制作、智能对轨、智能审听等有声创作全流程工具,可以帮助创作者高效、低成本创作出引人入胜的有声作品。立即体验,让有声书制作更简单!
    3721次使用
微信登录更方便
  • 密码登录
  • 注册账号
登录即同意 用户协议隐私政策
返回登录
  • 重置密码