Mengurangi XSS berbasis DOM dengan Trusted Types
Tetap teratur dengan koleksi
Simpan dan kategorikan konten berdasarkan preferensi Anda.
Trusted Types adalah fitur keamanan platform web yang membantu mencegah serangan XSS berbasis DOM tertentu, dengan memblokir titik injeksi yang berisiko (seperti .innerHTML) agar tidak menggunakan nilai string yang tidak divalidasi. Jika titik injeksi berisiko diblokir, pelanggaran akan muncul.
Peringatan laporan Lighthouse bahwa header respons CSP tidak ada atau tidak ada perintah Trusted Types untuk memitigasi XSS berbasis DOM.
Audit akan lulus jika header CSP ditetapkan bersama dengan direktif require-trusted-types-for dan skrip sebagai nilainya. Audit akan gagal jika header CSP tidak ditetapkan atau ditetapkan, tetapi tidak memiliki perintah Trusted Types.
Mengonfigurasi header CSP dan perintah Trusted Types untuk memitigasi XSS berbasis DOM
Agen pengguna menggunakan direktif require-trusted-types-for untuk mengontrol data apa yang diteruskan ke fungsi sink XSS DOM. Nilai script dari direktif ini memverifikasi bahwa fungsi sink injeksi XSS DOM hanya menerima jenis yang dihasilkan oleh kebijakan Trusted Type, bukan mengizinkan string:
[[["Mudah dipahami","easyToUnderstand","thumb-up"],["Memecahkan masalah saya","solvedMyProblem","thumb-up"],["Lainnya","otherUp","thumb-up"]],[["Informasi yang saya butuhkan tidak ada","missingTheInformationINeed","thumb-down"],["Terlalu rumit/langkahnya terlalu banyak","tooComplicatedTooManySteps","thumb-down"],["Sudah usang","outOfDate","thumb-down"],["Masalah terjemahan","translationIssue","thumb-down"],["Masalah kode / contoh","samplesCodeIssue","thumb-down"],["Lainnya","otherDown","thumb-down"]],["Terakhir diperbarui pada 2025-07-08 UTC."],[],[]]
