npm包@types/trusted-types使用教程

在前端开发领域中使用安全类型可以有效的防止跨站脚本攻击(XSS)和其它的安全漏洞。在本文中,我们将介绍如何使用npm包 @types/trusted-types提供的类型来解决安全问题。

什么是 Trusted Types?

在之前,如果你想要通过安全类型来防止XSS攻击,你需要自己创建一些库来实现这个目的。 Trusted Types 提供了官方标准的支持,它通过约束用户提供的代码为它们指定的可信内容。这将来自不安全渠道的php, js等脚本内容转换为浏览器可以正常响应的标记,而不会被用于攻击。

包的安装和使用

如何安装:

  1. 使用npm安装

npm install --save-dev @types/trusted-types

  1. 使用yarn安装

yarn add @types/trusted-types --dev

使用范例:

------ - ------------ ------------- - ---- -----------------------

----- ----------- ------ - ----------- -------------
----- --------- ----------- - ------------------------------------------
----------------------- - --------------------

----- --------- ------ - ----------------
----- ------- ------------- - --------------------------------------------
----------------------------------

在上面的例子中,我们使用了两个 Trusted Types,名为 TrustedHTML 和 TrustedScript。

  • TrustedHTML : 用于处理 HTML 标记内容。
  • TrustedScript : 用于处理 script 标记内容。

在forEach迭代一些来自外部的数据对象时,可以使用TrustedHTML或 TrustedScript 来处理可能包含用户代码的字符串。

创建类型

在使用 Trusted Types 时,可以通过 policy 方法来创建类型。这样可以满足你和你的团队的安全策略,而不用担心可能发生的恶意攻击。

在很多例子中,我们看到了 TrustedHTML.policy.createHTML 和 TrustedScript.policy.createScript 方法。可以与 createEval 和 createURL 方法一样使用它们来创建其他类型。

createHTML

createHTML 方法用于创建 TrustedHTML 的实例。我们可以使用此方法将一个字符串转换为 TrustedHTML 类型。

----- ----------- ------ - ----------- -------------
----- --------- ----------- - ------------------------------------------

createScript

createScript 方法用于创建 TrustedScript 的实例。与 createHTML 方法一样,我们可以使用此方法将字符串转换为TrustedScript类型。

----- --------- ------ - ----------------
----- ------- ------------- - --------------------------------------------

createEval

createEval方法创建 TrustedScriptURL 类型,但它是用于 eval 函数的URL。这个URL 可以帮助 preventScriptInjection 阻止程序被恶意攻击。

----- ------- - ------------------------------------
----- --------- ---------------- - --------------------------------------------

createURL

createURL方法创建TrustedURL类型,它用于安全的URL输入的策略筛选系统。它可以防止使用恶意代码破坏程序记录在表单提交数据的引用标签的手段。

----- --- - ---------------------
----- -------- ---------- - ---------------------------------

Conclusion

开始使用 Trusted Types 以提升前端应用程序的安全是一件好事。我们可以使用@types/trusted-types npm 包来有效地防止 XSS 攻击等安全问题。在本文中,我们讨论了如何使用TrustedHTML和TrustedScript类型、如何创建Trusted Types。我们还讨论了在 policy 策略和其他方法中Trusted Types 的主要优点。因此,可以根据实际情况和个人需求来设计你自己的策略,并掌握这个npm包的应用。

来源:JavaScript中文网 ,转载请联系管理员! 本文地址:https://www.javascriptcn.com/post/5f0922fd403f2923b035c013

阅读全文

猜你喜欢

  • npm 包 @znemz/node-memwatch 使用教程

    简介 @znemz/node-memwatch 是一个基于 Node.js 的内存泄漏检测工具,可帮助开发人员在开发过程中实时监测应用的内存使用情况,定位内存泄漏问题并及时修复。

    4 年前
  • npm包 @znemz/js-common-debug-clone 使用教程

    简介 在前端开发中,经常会遇到需要对一些数据进行调试的情况,并且我们通常会使用 console 打印出这些数据来查看。然而,在实际开发过程中,由于数据结构复杂或者引用关系错综复杂,使用 console...

    4 年前
  • npm 包 @znemz/js-common-tsconfig-clone 使用教程

    在前端开发中,使用 TypeScript 已经成为了一种趋势,通过 type checking、自动补全等功能提升了项目的可维护性。虽然 TypeScript 带来了很多好处,但是在项目中需要管理好 ...

    4 年前
  • npm 包 @znemz/js-common-cpy-cli 使用教程

    概述 npm 是 Nodejs 的包管理器,允许用户共享和重复使用可重用的代码模块。使用 npm 可以轻松地安装、更新和卸载 JavaScript 包。其中,@znemz/js-common-cpy-...

    4 年前
  • npm 包 @znemz/js-common-jest-config-mono-package-clone 使用教程

    简介 @znemz/js-common-jest-config-mono-package-clone 是一款基于 Jest 的测试配置包,用于一站式的测试解决方案。

    4 年前
  • npm包 @znemz/react-extras-jest 使用教程

    在 React 的开发过程中我们经常需要使用到 Jest 测试框架。而 @znemz/react-extras-jest 这个 npm 包就提供了一些有用的 Jest 工具来简化我们在 React 组...

    4 年前
  • npm 包 self-signed 使用教程

    在前端项目开发中,我们常常需要使用 HTTPS 协议来保证数据的传输安全性。虽然我们可以通过自己的 CA 证书来进行签名,但这样比较麻烦,而且有时候并不需要那么高的安全级别。

    4 年前
  • npm 包 json-fixer 使用教程

    在前端开发过程中,我们经常需要操作 JSON 格式的数据。在这个过程中,我们经常会遇到一些 JSON 不符合规范或者格式混乱的问题。json-fixer 可以帮我们自动化地处理这类问题。

    4 年前
  • npm 包 @types/lodash.isplainobject 使用教程

    在前端开发中,我们经常会用到 lodash 这个 JavaScript 工具库,它提供了很多便捷的方法来操作和处理数据。而 @types/lodash.isplainobject 则是一个定义了 is...

    4 年前
  • npm 包 @types/lodash.unescape 使用教程

    在前端开发过程中,我们常常需要使用到一些方便的工具库。其中,lodash 是一个非常常用的、功能强大的工具库。lodash.unescape 是 lodash 提供的一个函数,用于将 HTML 实体转...

    4 年前
  • npm 包 @istanbuljs/nyc-config-babel 使用教程

    前言 在前端开发中,测试和代码覆盖率变得越来越受欢迎。而 Istanbul 就是一个广泛使用的代码覆盖率工具。其优点是易于使用,配置简单且易于集成。在本文中,我们将介绍如何使用 @istanbuljs...

    4 年前
  • npm 包 remark-lint-no-duplicate-defined-urls 使用教程

    前言 在前端的开发过程中,我们通常需要处理大量的文本信息。而 markdown 格式的文本因其简洁明了、易于编写和阅读的特点,已经成为了很多开发者的首选文本格式。但是,在 markdown 文本中存在...

    4 年前
  • npm包remark-lint-no-unneeded-full-reference-image使用教程

    作为一个前端工程师,我们总会遇到需要在网站或应用程序中添加图片的情况。当我们使用 markdown 去描述文档或文章时,经常需要引用一些图片,而这些图片存储在其他的位置或其他网络上。

    4 年前
  • npm 包 remark-lint-no-unneeded-full-reference-link 使用教程

    在 Markdown 中,可以通过使用链接来引用其他文档或网页中的内容。使用链接的同时,你需要定义一个链接名称或者文本,使用 [name](url) 的格式来创建一个链接。

    4 年前
  • npm 包 forceable-tty 使用教程

    在前端开发中,我们通常需要在终端运行一些命令来进行调试、构建等操作。然而,在某些情况下,我们可能无法使用终端,比如在一些编辑器上使用终端插件时,会出现一些问题。 forceable-tty 就是一个可...

    4 年前
  • npm 包 "@hutson/parse-repository-url" 使用教程

    背景 在进行前端开发时,我们经常需要使用到 npm 包,其中一个主要功能就是管理我们的依赖关系,方便我们轻松管理项目中的各种模块和代码库。在我们引用一个 npm 包时,有些时候我们需要知道这个包存放的...

    4 年前
  • npm包@hutson/conventional-changelog-config使用教程

    随着前端开发工程化的不断发展,各种工具和技术层出不穷,npm包也成为了前端项目中不可或缺的一部分。@hutson/conventional-changelog-config是一款常用的npm包,它可以...

    4 年前
  • npm 包 @hutson/eslint-config 使用教程

    前言 在前端开发过程中,我们会写很多的 JavaScript 代码。为了提高代码的质量和可维护性,我们通常会使用 ESLint 来帮助我们检查代码。而在 ESLint 的配置中,我们可以使用一些第三方...

    4 年前
  • npm 包 @hutson/set-npm-auth-token-for-ci 使用教程

    在前端开发过程中,我们经常需要使用 npm 包管理工具来安装和管理依赖项。但是,在某些情况下,我们需要在 CI/CD 环境中使用 npm 包,并且需要在没有交互式登录的情况下进行身份验证。

    4 年前
  • npm 包 npm-publish-git-tag 使用教程

    前言 在前端开发中,我们常常需要使用到各种 npm 包。而当我们开发自己的 npm 包时,就需要发布它以供他人使用。npm-publish-git-tag 就是一款帮助我们发布 npm 包的工具。

    4 年前

相关推荐

    暂无文章