Trusted Types

参考

概要と、例

根本的にXSSを解決する

sink (XSS)に代入できる値を「特定の型」を持ったもののみに制限する

この特定の型のことをTrusted Typeと言う

事前にポリシーを定義しておき、代入する時は必ずTrusted Typeに変換する

Trsuted Typeでない値はsink (XSS)に代入されることがない

DOM Based XSSが起きるとしたら、そのポリシーが弱い以外にない

脆弱性を見つける際にそこだけチェックすれば済む

文字列を全て安全な方に変換する

URLもTrustedURLみたいにする

@VRgslv: Next.jsでTrusted Types(XSS防御のためのCSP)をサポートするための仕組みが面白い。

Trusted Types Policyの型違反をチェックできるtscのラッパー(tsec)を使い、CIでNext.jsにに違反するコードがないかチェックしている。