צמצום הסיכון ל-XSS מבוסס-DOM באמצעות סוגים מהימנים
קל לארגן דפים בעזרת אוספים
אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.
Trusted Types הם תכונת אבטחה של פלטפורמת אינטרנט שעוזרת למנוע מתקפות XSS מסוימות שמבוססות על DOM, על ידי חסימה של נקודות הזרקה מסוכנות (כמו .innerHTML) משימוש בערכי מחרוזות שלא אומתו. אם נקודת הזרקה מסוכנת נחסמת, נוצרת הפרה.
אזהרה בדוח Lighthouse שחסרה כותרת תגובת CSP או הוראת Trusted Types לצמצום הסיכון ל-XSS מבוסס DOM.
הביקורת תעבור אם כותרת ה-CSP מוגדרת יחד עם ההנחיה require-trusted-types-for והסקריפט כערך שלה. הביקורת תיכשל אם כותרת ה-CSP לא מוגדרת, או אם היא מוגדרת אבל חסרה בה ההוראה Trusted Types.
הגדרת כותרת CSP והוראה של סוגים מהימנים כדי לצמצם את הסיכון ל-XSS מבוסס DOM
סוכני משתמשים משתמשים בהנחיית require-trusted-types-for כדי לקבוע אילו נתונים מועברים לפונקציות של DOM XSS sink. הערך script של ההנחיה הזו מוודא שפונקציות של יעד להחדרת XSS ב-DOM מקבלות רק סוגים שנוצרו על ידי כללי מדיניות של סוגים מהימנים, ולא מאפשרות מחרוזות:
[[["התוכן קל להבנה","easyToUnderstand","thumb-up"],["התוכן עזר לי לפתור בעיה","solvedMyProblem","thumb-up"],["סיבה אחרת","otherUp","thumb-up"]],[["חסרים לי מידע או פרטים","missingTheInformationINeed","thumb-down"],["התוכן מורכב מדי או עם יותר מדי שלבים","tooComplicatedTooManySteps","thumb-down"],["התוכן לא עדכני","outOfDate","thumb-down"],["בעיה בתרגום","translationIssue","thumb-down"],["בעיה בדוגמאות/בקוד","samplesCodeIssue","thumb-down"],["סיבה אחרת","otherDown","thumb-down"]],["עדכון אחרון: 2025-07-08 (שעון UTC)."],[],[]]
