Google uses AI technology to translate content into your preferred language. AI translations can contain errors.
Trusted Types を使用して DOM ベースの XSS を軽減する
コレクションでコンテンツを整理
必要に応じて、コンテンツの保存と分類を行います。
Trusted Types は、危険な挿入ポイント(.innerHTML など)が検証されていない文字列値を使用するのをブロックすることで、特定の DOM ベースの XSS 攻撃を防ぐのに役立つウェブ プラットフォームのセキュリティ機能です。リスクの高いインジェクション ポイントがブロックされると、違反が発生します。
Content-Security-Policy(CSP)ヘッダーは、require-trusted-types-for ディレクティブを使用して Trusted Types を適用します。
Lighthouse 監査が失敗する仕組み
CSP レスポンス ヘッダーがないか、DOM ベースの XSS を軽減するための Trusted Types ディレクティブがないことを示す Lighthouse レポートの警告。
CSP ヘッダーが require-trusted-types-for ディレクティブとスクリプトを値として設定されている場合、監査は合格します。CSP ヘッダーが設定されていない場合、または設定されていても Trusted Types ディレクティブがない場合、監査は失敗します。
ユーザー エージェントは require-trusted-types-for ディレクティブを使用して、DOM XSS シンク関数に渡されるデータを制御します。このディレクティブの script 値は、DOM XSS インジェクション シンク関数が文字列を許可するのではなく、Trusted Type ポリシーによって生成された型のみを受け入れることを検証します。
Content-Security-Policy: require-trusted-types-for 'script';
特に記載のない限り、このページのコンテンツはクリエイティブ・コモンズの表示 4.0 ライセンスにより使用許諾されます。コードサンプルは Apache 2.0 ライセンスにより使用許諾されます。詳しくは、Google Developers サイトのポリシーをご覧ください。Java は Oracle および関連会社の登録商標です。
最終更新日 2025-07-08 UTC。
[[["わかりやすい","easyToUnderstand","thumb-up"],["問題の解決に役立った","solvedMyProblem","thumb-up"],["その他","otherUp","thumb-up"]],[["必要な情報がない","missingTheInformationINeed","thumb-down"],["複雑すぎる / 手順が多すぎる","tooComplicatedTooManySteps","thumb-down"],["最新ではない","outOfDate","thumb-down"],["翻訳に関する問題","translationIssue","thumb-down"],["サンプル / コードに問題がある","samplesCodeIssue","thumb-down"],["その他","otherDown","thumb-down"]],["最終更新日 2025-07-08 UTC。"],[],[]]
