Trusted Types는 검증되지 않은 문자열 값을 사용하는 위험한 삽입 지점 (예: .innerHTML)을 차단하여 특정 DOM 기반 XSS 공격을 방지하는 데 도움이 되는 웹 플랫폼 보안 기능입니다. 위험한 삽입 지점이 차단되면 위반이 발생합니다.
Content-Security-Policy (CSP) 헤더는 require-trusted-types-for 지시어를 사용하여 신뢰할 수 있는 유형을 적용합니다.
Lighthouse 감사가 실패하는 방식
CSP 헤더가 require-trusted-types-for 지시문 및 스크립트와 함께 값으로 설정되면 감사가 통과됩니다. CSP 헤더가 설정되지 않았거나 설정되었지만 신뢰할 수 있는 유형 지시어가 누락된 경우 감사가 실패합니다.
CSP 헤더 및 신뢰할 수 있는 유형 지시어를 구성하여 DOM 기반 XSS 완화
사용자 에이전트는 require-trusted-types-for 지시어를 사용하여 DOM XSS 싱크 함수에 전달되는 데이터를 제어합니다. 이 지시문의 script 값은 DOM XSS 삽입 싱크 함수가 문자열을 허용하는 대신 신뢰할 수 있는 유형 정책에서 생성된 유형만 허용하는지 확인합니다.
Content-Security-Policy: require-trusted-types-for 'script';