Prevent DOM-based cross-site scripting vulnerabilities with Trusted Types | Articles | web.dev

DOM-based cross-site scripting (DOM XSS) happens when data from a user-controlled source (like a username, or a redirect URL taken from the URL fragment) reaches a sink, which is a function like eval() or a property setter like .innerHTML that can execute arbitrary JavaScript code. DOM XSS is one of the most common web security vulnerabilities, and it's common for dev teams to accidentally introdu

[efcl]

Chrome 73でTrusted Typesがフラグ付きで実装され、76までOrigin Trialとして試せる。 TrustTypesはXSSのsinkとなる部分をポリシーでチェックする。 ポリシーに一致しない場合はエラーに落とすことで回避するAPIと仕組み

[Shisama]

文字列を安全な型に変換することでDOM-based XSSを防ぐTrusted Typesの紹介。Chrome 83から使える。とりあえずCSPのreport-onlyも設定できるのでまずはレポートだけとかもできる