trusted-types
Content-Security-Policy Document

개요

trusted-types 는 Trusted Types API 로 생성할 수 있는 정책(policy)의 허용 이름 목록을 정의합니다. 각 정책은 문자열을 TrustedHTML 등 안전 객체로 변환하는 규칙(정화 로직)을 담으며, 이 지시어로 어떤 이름의 정책만 만들 수 있는지 제한합니다.

자세히

값으로 허용할 정책 이름을 나열합니다(예: default dompurify). trustedTypes.createPolicy(name, rules) 호출 시 name 이 이 목록에 없으면 브라우저가 정책 생성을 거부합니다. 특수 키워드로 'none'(어떤 정책도 금지 → 사실상 위험 싱크 완전 봉쇄), 'allow-duplicates'(같은 이름의 정책을 여러 번 만드는 것을 허용) 등이 있습니다. default 라는 이름의 정책은 다른 정책이 지정되지 않은 싱크에 자동 적용되는 폴백 역할을 합니다.

trusted-types 는 require-trusted-types-for 'script' 와 함께 동작합니다. 후자가 '위험 싱크에 문자열 대입 금지'를 강제하면, 전자가 '그 문자열을 안전 객체로 바꿀 수 있는 신뢰 정책의 화이트리스트'를 정의합니다. 정책 개수를 최소화하고 이름을 제한하면 공격자가 임의 정책을 만들어 우회하는 것을 막을 수 있어, DOM XSS 방어의 신뢰 경계를 명확히 좁힐 수 있습니다.

문법

Content-Security-Policy: trusted-types default dompurify 'allow-duplicates'

실무 참고

관련 지시어