能消灭 DOM 型 XSS 的新对象类型

文章预览

最近发现 Chrome 团队在博客更新了一篇文章，表示 YouTube 要实施 Trusted Types （可信类型）了，要求相关插件的开发者尽快完成改造，不然插件可能就用不了了。 Trusted Types 要求第三方浏览器扩展程序在为 DOM API 赋值时使用类型化对象而不是字符串。自 2024 年 7 月 25 日起，不符合 Trusted Types 安全要求的浏览器扩展程序可能会在强制执行后停止运行，因此我们鼓励相应的开发者遵循 “预防基于 DOM 的跨站点脚本漏洞” 指南，以确保浏览器扩展程序与新的 YouTube 安全标准兼容。 其实 Trusted Types （可信类型）在我之前的文章里也介绍过： 聊一下 Chrome 新增的可信类型（Trusted types） 不过当时它还是一个非常早期的提案，过了很久都没什么动静，我以为要凉凉了，然而最近发现 YouTube 这样大的站点居然都要开始实施它了，说明这个提案已经逐步走 ………………………………