掌握Trusted Types：浏览器API防止DOM型XSS安全技术

### 知识点 #### 一、Trusted Types API 概念介绍 Trusted Types API 是一种浏览器提供的API，旨在防止现代Web应用程序遭受基于DOM的跨站脚本攻击（DOM-based XSS）。DOM-based XSS是一种常见的Web安全漏洞，攻击者通过操作DOM元素插入恶意脚本，进而影响网站的正常运行和用户的个人信息安全。 #### 二、问题背景 在传统的XSS防护中，通过内容安全策略（CSP）提供的一个选项是`script-src 'self'`，它要求所有的JavaScript代码必须来自自身域名，然而，这并不能有效防止所有类型的XSS攻击，特别是在动态生成内容时。而Trusted Types正是为了弥补这一安全空白。 #### 三、Trusted Types API 工作原理 Trusted Types API 强制Web开发者将所有脚本内容通过可信的模板来创建，而不是直接将字符串赋值给DOM元素。这样，浏览器能够通过API确保内容的可信性，防止恶意脚本的注入。 #### 四、API使用方式 开发者可以创建一组命名的“信任类型”策略，当需要插入内容到DOM时，必须通过这些策略来创建安全的对象。例如，可以有策略来处理HTML内容的可信赋值，从而在赋值过程中对内容进行安全检查。 #### 五、兼容性 Trusted Types API 在基于Chromium版本83及更高版本的浏览器中本地可用。这意味着在大多数现代浏览器中，开发者可以直接使用这一安全特性。 #### 六、Polyfill 的作用 考虑到不是所有浏览器都支持Trusted Types API，该存储库提供了一个polyfill，允许开发者在不支持Trusted Types的浏览器中使用这一API。Polyfill的出现使得Web应用能够在旧浏览器中同样保持较高安全性，尽管这可能不会提供与原生API相同的性能和安全性级别。 #### 七、Polyfill 变体 该polyfill库提供了两种不同的变体：`api_only`（light）和`full`版本。`api_only`版本提供最基本的功能，而`full`版本则尝试尽可能模拟浏览器的原生行为，可能会带来更多的功能和更好的兼容性。 #### 八、相关资源链接 1. API描述：提供带示例的API使用说明，帮助开发者理解如何在实际开发中应用Trusted Types。 2. 介绍性解释器：解释API解决什么问题，如何解决这个问题，以及在什么情况下使用API是恰当的。 3. 更全面的描述：对Trusted Types API 进行更全面和形式化的描述，提供了更深入的技术细节和用法说明。 #### 九、标签含义 - `javascript`：表明Trusted Types API主要使用JavaScript进行开发和应用。 - `polyfill`：表示提供了回退方案，让旧版本浏览器也能使用这一特性。 - `security`：强调了API的安全性质，即用于提升Web应用的安全性。 - `dom`：涉及到文档对象模型（Document Object Model，简称DOM）的操作，这是Web开发的核心概念。 - `w3c`：指出此API可能是（或计划成为）W3C组织推荐的标准。 - `xss`：表示API是用来防御跨站脚本攻击（XSS）的。 - `SecurityJavaScript`：强调了使用JavaScript实现的安全功能。 #### 十、文件名称说明 压缩包子文件的名称“webappsec-trusted-types-master”表明了该压缩包是存放Trusted Types规范草案和polyfill代码的主版本存储库。这样的命名方式符合常规的版本控制和项目管理习惯，便于开发者寻找和引用正确的资源。 通过上述内容的介绍，可以了解到Trusted Types API在提升Web应用安全方面的价值和实现方式。开发者应当在符合安全标准的开发流程中纳入此类技术，以增强Web应用抵御攻击的能力。同时，利用polyfill技术确保代码能在更多浏览器中运行，以便覆盖更广泛的用户群。