ลดความเสี่ยงของ DOM-based XSS ด้วย Trusted Types
จัดทุกอย่างให้เป็นระเบียบอยู่เสมอด้วยคอลเล็กชัน
บันทึกและจัดหมวดหมู่เนื้อหาตามค่ากำหนดของคุณ
Trusted Types เป็นฟีเจอร์ความปลอดภัยของแพลตฟอร์มเว็บที่ช่วยป้องกันการโจมตี XSS บางอย่างที่อิงตาม DOM โดยการบล็อกจุดแทรกที่มีความเสี่ยง (เช่น .innerHTML) ไม่ให้ใช้ค่าสตริงที่ไม่ได้ตรวจสอบ หากมีการบล็อกจุดแทรกที่มีความเสี่ยง ระบบจะแจ้งการละเมิด
ส่วนหัว Content-Security-Policy (CSP) ใช้คําสั่ง require-trusted-types-for เพื่อบังคับใช้ประเภทที่เชื่อถือได้
สาเหตุที่การตรวจสอบ Lighthouse ไม่สำเร็จ
คำเตือนในรายงาน Lighthouse ว่าไม่มีส่วนหัวการตอบกลับ CSP หรือไม่มีคำสั่ง Trusted Types เพื่อลดความเสี่ยงของ XSS ที่อิงตาม DOM
การตรวจสอบจะผ่านหากตั้งค่าส่วนหัว CSP พร้อมกับคำสั่ง require-trusted-types-for และสคริปต์เป็นค่า การตรวจสอบจะไม่สําเร็จหากไม่ได้ตั้งค่าส่วนหัว CSP หรือตั้งค่าแล้วแต่ไม่มีคําสั่ง Trusted Types
User Agent ใช้คำสั่ง require-trusted-types-for เพื่อควบคุมข้อมูลที่จะส่งไปยังฟังก์ชันซิงก์ DOM XSS script ค่าของคำสั่งนี้จะยืนยันว่าฟังก์ชันปลายทางของการแทรก DOM XSS จะยอมรับเฉพาะประเภทที่สร้างขึ้นโดยนโยบาย Trusted Types เท่านั้น แทนที่จะอนุญาตสตริง
Content-Security-Policy: require-trusted-types-for 'script';
เนื้อหาของหน้าเว็บนี้ได้รับอนุญาตภายใต้ใบอนุญาตที่ต้องระบุที่มาของครีเอทีฟคอมมอนส์ 4.0 และตัวอย่างโค้ดได้รับอนุญาตภายใต้ใบอนุญาต Apache 2.0 เว้นแต่จะระบุไว้เป็นอย่างอื่น โปรดดูรายละเอียดที่นโยบายเว็บไซต์ Google Developers Java เป็นเครื่องหมายการค้าจดทะเบียนของ Oracle และ/หรือบริษัทในเครือ
อัปเดตล่าสุด 2025-07-08 UTC
[[["เข้าใจง่าย","easyToUnderstand","thumb-up"],["แก้ปัญหาของฉันได้","solvedMyProblem","thumb-up"],["อื่นๆ","otherUp","thumb-up"]],[["ไม่มีข้อมูลที่ฉันต้องการ","missingTheInformationINeed","thumb-down"],["ซับซ้อนเกินไป/มีหลายขั้นตอนมากเกินไป","tooComplicatedTooManySteps","thumb-down"],["ล้าสมัย","outOfDate","thumb-down"],["ปัญหาเกี่ยวกับการแปล","translationIssue","thumb-down"],["ตัวอย่าง/ปัญหาเกี่ยวกับโค้ด","samplesCodeIssue","thumb-down"],["อื่นๆ","otherDown","thumb-down"]],["อัปเดตล่าสุด 2025-07-08 UTC"],[],[],null,[]]
