Mitigare gli attacchi XSS basati sul DOM con Trusted Types

Trusted Types sono una funzionalità di sicurezza della piattaforma web che aiuta a prevenire determinati attacchi XSS basati sul DOM bloccando i punti di iniezione rischiosi (come .innerHTML) dall'utilizzo di valori stringa non convalidati. Se un punto di iniezione rischioso viene bloccato, viene segnalata una violazione.

L'intestazione Content-Security-Policy (CSP) utilizza l'istruzione require-trusted-types-for per applicare i tipi attendibili.

Motivi del mancato superamento del controllo di Lighthouse

Avviso del report Lighthouse che indica che l'intestazione della risposta CSP è mancante o che la direttiva Trusted Types per mitigare gli attacchi XSS basati sul DOM.
Avviso del report Lighthouse che indica che l'intestazione della risposta CSP è mancante o che l'istruzione Trusted Types per mitigare XSS basato sul DOM.

L'audit verrà superato se l'intestazione CSP è impostata insieme alla direttiva require-trusted-types-for e allo script come valore. Il controllo non verrà superato se l'intestazione CSP non è impostata o se è impostata ma manca l'istruzione Trusted Types.

Configurare un'intestazione CSP e un'istruzione Trusted Types per mitigare gli attacchi XSS basati sul DOM

Gli user agent utilizzano la direttiva require-trusted-types-for per controllare quali dati vengono passati alle funzioni sink DOM XSS. Il valore script di questa direttiva verifica che le funzioni sink di iniezione XSS nel DOM accettino solo tipi generati da policy Trusted Types, anziché consentire stringhe:

Content-Security-Policy: require-trusted-types-for 'script';