Trusted Types 防 XSS 攻擊這個話題社群討論了很多次,但隨著版本迭代,很多結論需要更新。本文基於最新版本重新梳理。
入門指南
關鍵在於理解核心邏輯:
javascript
function setCSP(req, res, next) {
const nonce = crypto.randomBytes(16).toString('base64')
res.setHeader('Content-Security-Policy', [
"default-src 'self'",
`script-src 'self' 'nonce-${nonce}'`,
"style-src 'self' 'unsafe-inline'",
"img-src 'self' data: https:",
"connect-src 'self' https://api.example.com",
"frame-ancestors 'none'"
].join('; '))
next()
}
效能最佳化需要結合具體場景,不是所有情況都需要過度最佳化。
原始碼分析
我們可以通過以下方式來改進:
javascript
function setCSP(req, res, next) {
const nonce = crypto.randomBytes(16).toString('base64')
res.setHeader('Content-Security-Policy', [
"default-src 'self'",
`script-src 'self' 'nonce-${nonce}'`,
"style-src 'self' 'unsafe-inline'",
"img-src 'self' data: https:",
"connect-src 'self' https://api.example.com",
"frame-ancestors 'none'"
].join('; '))
next()
}
這套方案已經在線上穩定運行了半年以上,經過了實際驗證。
真實場景應用
先來看基本的實現方式:
javascript
function setCSP(req, res, next) {
const nonce = crypto.randomBytes(16).toString('base64')
res.setHeader('Content-Security-Policy', [
"default-src 'self'",
`script-src 'self' 'nonce-${nonce}'`,
"style-src 'self' 'unsafe-inline'",
"img-src 'self' data: https:",
"connect-src 'self' https://api.example.com",
"frame-ancestors 'none'"
].join('; '))
next()
}
這段程式碼展示了基本的使用方式。實際專案中還需要考慮錯誤處理和邊界條件。
最佳化技巧
在這個基礎上,我們可以進一步最佳化:
javascript
function setCSP(req, res, next) {
const nonce = crypto.randomBytes(16).toString('base64')
res.setHeader('Content-Security-Policy', [
"default-src 'self'",
`script-src 'self' 'nonce-${nonce}'`,
"style-src 'self' 'unsafe-inline'",
"img-src 'self' data: https:",
"connect-src 'self' https://api.example.com",
"frame-ancestors 'none'"
].join('; '))
next()
}
這種模式在大型專案中非常實用,能顯著降低維護成本。
小結
- Trusted Types 防 XSS 攻擊不是銀彈,需要根據專案規模和技術棧選擇
- 理解底層原理比記住 API 更重要
- 生產環境使用前務必做好相容性驗證
- 團隊協作中約定和文件比技術本身更重要