Trusted Types هي ميزة أمان في منصة الويب تساعد في منع بعض هجمات XSS المستنِدة إلى نموذج العناصر في المستند (DOM)، وذلك من خلال حظر نقاط الإدخال الخطيرة (مثل .innerHTML) من استخدام قيم السلسلة غير الصالحة. في حال حظر نقطة إدخال خطيرة، يتم تسجيل مخالفة.
يستخدم عنوان Content-Security-Policy (CSP) التوجيه require-trusted-types-for لفرض استخدام Trusted Types.
أسباب تعذُّر عملية التدقيق في Lighthouse
سيجتاز التدقيق إذا تم ضبط عنوان CSP مع التوجيه require-trusted-types-for والبرنامج النصي كقيمة له. ستتعذّر عملية التدقيق إذا لم يتم ضبط عنوان CSP أو إذا تم ضبطه ولكنّه لا يتضمّن توجيه Trusted Types.
ضبط عنوان CSP وتوجيه Trusted Types للحدّ من هجمات XSS المستنِدة إلى نموذج العناصر في المستند (DOM)
تستخدم وكلاء المستخدمين التوجيه require-trusted-types-for للتحكّم في البيانات التي يتم تمريرها إلى دوال DOM XSS sink. تتحقّق قيمة script لهذه التوجيه من أنّ دوالّ المصدر التي تسمح بإدخال بيانات في DOM XSS تقبل فقط الأنواع التي تنشئها سياسات Trusted Type، بدلاً من السماح بالسلاسل:
Content-Security-Policy: require-trusted-types-for 'script';