Trusted Types: снижение DOM-XSS при вставке HTML из CMS
Политика `require-trusted-types-for` и создание TrustedHTML вместо сырого `innerHTML`.
Trusted Types заставляет API вроде `element.innerHTML` принимать только обёрнутые значения — снижая риск XSS от пользовательского контента и виджетов.
Работает в связке с Content-Security-Policy; без политики браузер не блокирует опасные присваивания.
- Trusted Types — W3C — Спецификация API.
- OWASP DOM based XSS — Векторы DOM-XSS.
Внедрение
Начните с report-only CSP и логов нарушений; санитайзер (DOMPurify) оборачивайте в фабрику TrustedHTML.
Сторонние скрипты без поддержки TT могут потребовать исключений — документируйте их в реестре.