TrustedTypePolicy
Limited availability
This feature is not Baseline because it does not work in some of the most widely-used browsers.
Hinweis: Dieses Feature ist verfügbar in Web Workers.
Das TrustedTypePolicy-Interface der Trusted Types API definiert eine Gruppe von Funktionen, die TrustedType-Objekte erstellen.
Ein TrustedTypePolicy-Objekt wird durch TrustedTypePolicyFactory.createPolicy() erstellt, um eine Richtlinie zur Durchsetzung von Sicherheitsregeln für Eingaben zu definieren. Daher hat TrustedTypePolicy keinen Konstruktor.
Instanzeigenschaften
TrustedTypePolicy.nameNur lesbar-
Ein String, der den Namen der Richtlinie enthält.
Instanzmethoden
TrustedTypePolicy.createHTML()-
Erstellt ein
TrustedHTML-Objekt. TrustedTypePolicy.createScript()-
Erstellt ein
TrustedScript-Objekt. TrustedTypePolicy.createScriptURL()-
Erstellt ein
TrustedScriptURL-Objekt.
Beispiele
Im folgenden Beispiel erstellen wir eine Richtlinie, die TrustedHTML-Objekte mithilfe von TrustedTypePolicyFactory.createPolicy() erstellt. Wir können dann TrustedTypePolicy.createHTML verwenden, um einen bereinigten HTML-String zu erstellen, der in das Dokument eingefügt werden kann.
Der bereinigte Wert kann dann mit Element.innerHTML verwendet werden, um sicherzustellen, dass keine neuen HTML-Elemente eingeschleust werden können.
<div id="myDiv"></div>
const escapeHTMLPolicy = trustedTypes.createPolicy("myEscapePolicy", {
createHTML: (string) => string.replace(/</g, "<"),
});
let el = document.getElementById("myDiv");
const escaped = escapeHTMLPolicy.createHTML("<img src=x onerror=alert(1)>");
console.log(escaped instanceof TrustedHTML); // true
el.innerHTML = escaped;
Spezifikationen
| Specification |
|---|
| Trusted Types # trusted-type-policy |
Browser-Kompatibilität
BCD tables only load in the browser