Trusted Types เป็นฟีเจอร์ความปลอดภัยของแพลตฟอร์มเว็บที่ช่วยป้องกันการโจมตี XSS บางอย่างที่อิงตาม DOM โดยการบล็อกจุดแทรกที่มีความเสี่ยง (เช่น .innerHTML) ไม่ให้ใช้ค่าสตริงที่ไม่ได้ตรวจสอบ หากมีการบล็อกจุดแทรกที่มีความเสี่ยง ระบบจะแจ้งการละเมิด
ส่วนหัว Content-Security-Policy (CSP) ใช้คําสั่ง require-trusted-types-for เพื่อบังคับใช้ประเภทที่เชื่อถือได้
สาเหตุที่การตรวจสอบ Lighthouse ไม่สำเร็จ
การตรวจสอบจะผ่านหากตั้งค่าส่วนหัว CSP พร้อมกับคำสั่ง require-trusted-types-for และสคริปต์เป็นค่า การตรวจสอบจะไม่สําเร็จหากไม่ได้ตั้งค่าส่วนหัว CSP หรือตั้งค่าแล้วแต่ไม่มีคําสั่ง Trusted Types
กำหนดค่าส่วนหัว CSP และคำสั่ง Trusted Types เพื่อลดความเสี่ยงของ XSS ที่อิงตาม DOM
User Agent ใช้คำสั่ง require-trusted-types-for เพื่อควบคุมข้อมูลที่จะส่งไปยังฟังก์ชันซิงก์ DOM XSS script ค่าของคำสั่งนี้จะยืนยันว่าฟังก์ชันปลายทางของการแทรก DOM XSS จะยอมรับเฉพาะประเภทที่สร้างขึ้นโดยนโยบาย Trusted Types เท่านั้น แทนที่จะอนุญาตสตริง
Content-Security-Policy: require-trusted-types-for 'script';