TrustedHTML
Baseline
2026
Newly available
Since February 2026, this feature works across the latest devices and browser versions. This feature might not work in older devices or browsers.
Note: This feature is available in Web Workers.
Giao diện TrustedHTML của Trusted Types API đại diện cho một chuỗi mà nhà phát triển có thể chèn vào injection sink sẽ hiển thị nó như HTML. Các đối tượng này được tạo qua TrustedTypePolicy.createHTML() và do đó không có hàm khởi tạo.
Giá trị của đối tượng TrustedHTML được đặt khi đối tượng được tạo và không thể thay đổi bởi JavaScript vì không có setter được hiển thị.
Phương thức phiên bản
TrustedHTML.toJSON()-
Trả về biểu diễn JSON của dữ liệu được lưu trữ.
TrustedHTML.toString()-
Một chuỗi chứa HTML đã được xử lý an toàn.
Ví dụ
Trong ví dụ bên dưới, chúng ta tạo chính sách sẽ tạo các đối tượng TrustedHTML bằng TrustedTypePolicyFactory.createPolicy(). Sau đó chúng ta có thể sử dụng TrustedTypePolicy.createHTML() để tạo chuỗi HTML được xử lý an toàn để chèn vào tài liệu.
Giá trị đã được xử lý an toàn sau đó có thể được sử dụng với Element.innerHTML để đảm bảo không có phần tử HTML mới nào có thể được chèn vào.
<div id="myDiv"></div>
const escapeHTMLPolicy = trustedTypes.createPolicy("myEscapePolicy", {
createHTML: (string) => string.replace(/</g, "<"),
});
let el = document.getElementById("myDiv");
const escaped = escapeHTMLPolicy.createHTML("<img src=x onerror=alert(1)>");
console.log(escaped instanceof TrustedHTML); // true
el.innerHTML = escaped;
Thông số kỹ thuật
| Thông số kỹ thuật |
|---|
| Trusted Types # trusted-html |