DOM-basiertes XSS mit Trusted Types abwehren
Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Trusted Types sind eine Sicherheitsfunktion der Webplattform, die dazu beiträgt, bestimmte DOM-basierte XSS-Angriffe zu verhindern, indem riskante Injektionspunkte (z. B. .innerHTML) daran gehindert werden, nicht validierte Stringwerte zu verwenden. Wenn ein riskanter Injektionspunkt blockiert wird, wird ein Verstoß gemeldet.
Lighthouse-Bericht mit einer Warnung, dass entweder der CSP-Antwortheader oder die Trusted Types-Anweisung zur Eindämmung von DOM-basiertem XSS fehlt.
Der Audit wird bestanden, wenn der CSP-Header zusammen mit der Anweisung require-trusted-types-for und dem Script als Wert festgelegt ist. Die Prüfung schlägt fehl, wenn der CSP-Header nicht festgelegt ist oder wenn er festgelegt ist, aber die Trusted Types-Anweisung fehlt.
CSP-Header und Trusted Types-Anweisung konfigurieren, um DOM-basiertes XSS zu minimieren
User-Agents verwenden die require-trusted-types-for-Anweisung, um zu steuern, welche Daten an DOM-XSS-Senkenfunktionen übergeben werden. Der script-Wert dieser Direktive sorgt dafür, dass DOM-XSS-Senkenfunktionen nur Typen akzeptieren, die von Trusted Types-Richtlinien generiert werden, und keine Strings:
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Benötigte Informationen nicht gefunden","missingTheInformationINeed","thumb-down"],["Zu umständlich/zu viele Schritte","tooComplicatedTooManySteps","thumb-down"],["Nicht mehr aktuell","outOfDate","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Problem mit Beispielen/Code","samplesCodeIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-07-08 (UTC)."],[],[]]
