Trusted types
Trusted Types は innerHTML などの危険な DOM API に対して、信頼されたオブジェクトのみを渡すことを強制し、DOM XSS を防止します。
概要
Trusted Types は innerHTML などの危険な DOM API に対して、信頼されたオブジェクトのみを渡すことを強制し、DOM XSS を防止します。
対応ブラウザ
デスクトップ
Chrome 83+
Edge 83+
Safari 26+
Firefox 148+
モバイル
Chrome Android 83+
Safari iOS 26+
Firefox Android 148+
基本構文
JAVASCRIPT
<meta http-equiv="Content-Security-Policy"
content="require-trusted-types-for 'script'">
<script>
const policy = trustedTypes.createPolicy('default', {
createHTML: (input) => DOMPurify.sanitize(input)
});
el.innerHTML = policy.createHTML(userInput);
</script>実務での使いどころ
-
Trusted types の活用
Trusted Types。DOM XSSを防止するためのブラウザAPI。
注意点
- 古いブラウザでは対応していない場合がある。
アクセシビリティ
- スクリーンリーダーでの読み上げを確認すること。