UD5工具箱
Trusted Types安全演示 - 防止DOM XSS
展示如何通过强制Trusted Types策略阻止将未清理字符串直接赋给innerHTML。
Trusted Types 安全浏览 - DOM XSS防护演示
Trusted Types 检测
检测中...
CSP检测中...
输入 HTML 内容
输入任意HTML代码,对比不安全与安全的执行结果
快速填充:
⚠ XSS 攻击已触发!
不安全输出(直接 innerHTML)
易受XSS攻击
等待执行...
直接使用 element.innerHTML = input,未经过任何过滤
安全输出(Trusted Types 防护)
XSS防护
等待执行...
通过 Trusted Types 策略 清理后插入
安全策略日志
— 展示 Trusted Types 策略的过滤过程
等待执行操作...
CSP 头配置(服务端)
Content-Security-Policy: require-trusted-types-for 'script'; trusted-types tt-demo-policy
将以上响应头添加到你的Web服务器配置中,即可强制启用Trusted Types。也可添加
report-uri /csp-report 来收集违规报告。
Trusted Types 策略代码(前端)
// 创建 Trusted Types 安全策略
const policy = trustedTypes.createPolicy('tt-demo-policy', {
createHTML: (input) => {
// 使用 DOMPurify 或自定义清理
return sanitizeHTML(input);
},
createScriptURL: (input) => {
// 验证URL来源
if (isTrustedOrigin(input)) return input;
throw new Error('Untrusted script URL');
}
});
// 安全使用
element.innerHTML = policy.createHTML(userInput);
策略中的
createHTML 方法会对输入进行清理,移除事件处理器和危险标签,返回安全的 TrustedHTML 对象。
常见问题与知识点 (FAQ)
Trusted Types 是浏览器内置的安全API,旨在从根本上防止基于DOM的XSS(跨站脚本攻击)。它要求所有可能危险的DOM操作(如
innerHTML、document.write、script.src 等)只能接受经过安全策略处理的"可信类型"对象,而非原始字符串。这强制开发者对用户输入进行清理和验证,将XSS防护从"选择性"变为"强制性"。Trusted Types 是 W3C 标准,由Google Chrome团队主导,目前已在Chrome 83+、Edge 83+中得到完整支持。
DOM XSS 发生在客户端JavaScript代码中,常见的注入点包括:
- innerHTML / outerHTML:
<img src=x onerror=alert(1)> - document.write():直接写入恶意脚本
- eval() / setTimeout(string):执行字符串形式的代码
- script.src / script.textContent:动态加载恶意脚本
- javascript: 协议:
<a href="javascript:alert(1)"> - 事件处理器:onclick、onmouseover、onerror、onload等
- location / URL重定向:操纵window.location
- postMessage:跨窗口消息中的恶意数据
Trusted Types 通过限制这些注入点只接受可信对象,从而阻断攻击路径。
Trusted Types 定义了三种可信类型:
每种类型都只能通过已注册的Trusted Types策略创建,确保数据经过开发者审核。
| 类型 | 用途 | 对应DOM操作 |
|---|---|---|
TrustedHTML | 安全的HTML片段 | innerHTML、outerHTML、insertAdjacentHTML |
TrustedScript | 安全的脚本内容 | eval()、script.textContent、Function() |
TrustedScriptURL | 安全的脚本URL | script.src、import()、Worker() |
在HTTP响应头中添加:
Content-Security-Policy: require-trusted-types-for 'script'限制允许的策略名称(可选但推荐):
Content-Security-Policy: require-trusted-types-for 'script'; trusted-types myPolicy anotherPolicy添加违规报告端点:
Content-Security-Policy: require-trusted-types-for 'script'; report-uri /csp-violation-report-endpoint配置后,浏览器会拦截所有不安全的DOM操作并抛出TypeError,同时向报告端点发送违规信息。
默认策略是一个特殊的后备策略,当没有其他策略匹配时使用。使用
trustedTypes.createPolicy('default', ...) 创建。当代码尝试使用字符串进行DOM操作时,浏览器会先尝试默认策略来转换。如果默认策略也失败或不存在,则抛出TypeError。
注意 默认策略应谨慎使用,因为它可能成为安全漏洞的后门。建议仅用于渐进式迁移期间,最终应移除默认策略并显式使用命名策略。
- Chrome 83+:完整支持 ✅
- Edge 83+:完整支持 ✅
- Opera 69+:完整支持 ✅
- Firefox:实验性支持(需开启标志)⚠️
- Safari:暂不支持 ❌
在不支持的浏览器中,建议使用 if (window.trustedTypes) 进行特性检测,并提供polyfill或降级方案。
使用以下JavaScript代码检测:
// 检测API是否存在
const apiAvailable = typeof window.trustedTypes !== 'undefined';
// 检测CSP是否强制启用(尝试赋值innerHTML)
let enforced = false;
try {
const el = document.createElement('div');
el.innerHTML = 'test';
} catch(e) {
if (e instanceof TypeError) enforced = true;
}
console.log('API可用:', apiAvailable, 'CSP强制:', enforced);如果CSP强制启用,对 innerHTML 赋字符串值会抛出TypeError异常。
Trusted Types 提供了强制机制,而DOMPurify提供了清理能力。两者是黄金搭档:
// 在Trusted Types策略中使用DOMPurify
const policy = trustedTypes.createPolicy('sanitize-html', {
createHTML: (input) => {
// DOMPurify返回清理后的安全字符串
return DOMPurify.sanitize(input, {
ALLOWED_TAGS: ['b','i','em','strong','a','p','br'],
ALLOWED_ATTR: ['href','title','target']
});
}
});策略的createHTML返回的字符串会自动被包装为TrustedHTML对象,从而满足浏览器的类型要求。
渐进式迁移步骤:
- 审计代码:找出所有使用
innerHTML、document.write、eval的地方 - 引入清理库:安装DOMPurify或类似库
- 创建策略:定义Trusted Types策略,封装清理逻辑
- 替换赋值:将
el.innerHTML = x改为el.innerHTML = policy.createHTML(x) - 添加CSP报告头:先使用
Content-Security-Policy-Report-Only收集违规但不阻断 - 修复违规:根据报告修复所有违规点
- 正式启用:切换到
Content-Security-Policy强制模式
几乎不会。Trusted Types 是在浏览器引擎层面的类型检查,性能开销极小。策略中的清理逻辑(如DOMPurify)的性能取决于清理库本身,而这部分工作在未使用Trusted Types时也应该执行。实际上,Trusted Types 通过统一和缓存策略,在某些场景下还能略微提升性能。总体而言,安全性提升远大于微不足道的性能影响。
Trusted Types 主要防止基于DOM的XSS攻击(即通过DOM API注入恶意代码)。它不能直接防止:
- 反射型XSS:服务端直接返回未过滤的用户输入(需要在服务端处理)
- 存储型XSS:数据库中存储的恶意内容(需要在数据存储和展示时处理)
但Trusted Types可以与CSP、输入验证、输出编码等措施配合,构建纵深防御体系,显著降低XSS攻击面。它是现代Web安全防护的重要一环。
HTML Sanitizer API演示 - 安全插入HTML
使用新的Sanitizer API清理可能存在XSS风险的HTML字符串,并安全插入DOM。
Flexbox布局生成器 - 在线弹性盒可视化生成
在线Flexbox布局可视化生成器,直观调整主轴、交叉轴对齐、换行等属性,实时显示效果并输出CSS。
密码泄露查询 - k-Anonymity 安全检测
使用范围请求安全地检查密码是否出现在已知数据泄露库中(不发送完整密码)。
色盲安全调色板推荐 - 数据可视化配色
提供多组在各色盲类型下仍可区分的定性、连续配色方案,辅助图表设计。
CSS阴影生成器 - 在线Box-Shadow代码生成
可视化CSS box-shadow生成工具,拖拽调整阴影偏移、模糊、扩散、颜色,实时预览并生成代码。
XML 格式化与验证工具 - 在线XML美化
在线XML格式化工具,支持XML缩进美化、语法高亮、树形结构查看及格式验证,完全在浏览器中处理。
JWT在线解码调试工具 - 解析Header与Payload
解析JSON Web Token,显示Header和Payload内容及签名算法,不验证签名,方便开发调试。
AES在线加密解密 - WebCrypto安全对称密钥
使用浏览器SubtleCrypto API实现AES-GCM或AES-CBC加密解密,可设密码短语,全前端安全。
前端NPM依赖风险检查器 - 基于公开漏洞库
粘贴package.json内容,调用公开漏洞API(演示数据)检查依赖安全性,警示高危包。
JWT 签发与验证工具 - 在线调试JSON Web Token
填入Payload及密钥,选择HS256/RS256算法生成JWT,并验证已签发Token的签名与过期时间。
Yahtzee记分板助手 - 快艇骰子计分
掷五个虚拟骰子,自动分类计算十六条得分项并高亮最佳填充策略,辅助桌游。
Web分享API测试 - 调用系统分享面板
填写标题、文本和URL,触发系统级分享菜单,测试Web Share API功能。
JSON 格式化与验证工具 - 在线JSON美化校验
在线JSON格式化与验证工具,支持JSON压缩美化、语法高亮、错误定位,浏览器本地处理保障数据安全。
随机回忆笔记 - 输入片段日后抽盲盒
随时记录一句话或一张照片,日后随机抽出一张查看,带来惊喜。
MutationObserver 游乐场 - DOM变动实时记录
观察目标节点的添加、删除、属性变更,日志可视化展示,调试动态DOM的利器。
校验位计算器 - Luhn/ISBN-13/GTIN等
输入部分代码,选择算法自动计算最后一位校验码,用于生成或验证条码。
CORS 跨域请求测试器 - 分析响应头
输入目标URL,发送预检请求,分析Access-Control-*头,诊断跨域问题。
Punycode编码转换工具 - 国际化域名在线解码
将非ASCII域名(如中文域名)转换为Punycode格式或还原,理解国际化域名编码机制。
快艇骰子计分助手 - 锁定骰子与分表
掷5颗骰子,选择保留哪些,3次机会后填入计分表,自动加总。
简易WHOIS查询演示 - 通过公共API查域名
输入域名,调用开放的WHOIS API获取注册信息,返回可用信息片段(需API兼容)。
PlantUML 编码解码器 - 在线生成图表链接
输入 PlantUML 文本,编码为可嵌入图片的 URL 或解码已有的 PlantUML 链接查看源码。
Base64URL编码解码 - URL安全的Base64变体
在线Base64URL编码与解码,替换+/-为-/_并去除=填充,专为URL和JWT等场景优化。
ROT13在线编码解码工具 - 字母回转13位加密
在线ROT13编码与解码,字母位移13位,简单经典的单表置换加密,适用于隐藏轻度敏感文本。
JWT 调试器增强版 - 签名验证与有效期检查
解码 JWT 三部分,验证签名(若提供密钥),检查过期时间并高亮,支持修改负载重新生成。
Navigation API 演示 - 现代前端路由导航
使用新的 Navigation API 拦截导航、管理历史条目,构建类 SPA 体验。
泰森多边形生成器 - Voronoi图在线绘制
随机生成或手动添加种子点,实时绘制泰森多边形分割区域,可导出为SVG或图片。
条形码生成器 - 在线Code128/EAN-13条码
在线条形码生成工具,支持Code128、EAN-13等多种格式,输入数字或字母生成矢量条形码,可保存为图片。
色盲检测图 - Ishihara假同色图模拟
显示若干张色盲测试图,用户识别数字,判断可能的色觉缺陷类型。
在线刮奖卡 - Canvas涂抹刮开涂层
在Canvas上用鼠标涂抹刮开银色涂层,显示隐藏文字或图片,模拟刮刮乐。