Идеальные типы с помощью `setHTML()` Perfect types with `setHTML()`

Статья представляет концепцию 'идеальных типов' для предотвращения DOM XSS-атак. Автор предлагает использовать строгую политику Content Security Policy (CSP) — `require-trusted-types-for 'script'; trusted-types 'none';`, которая блокирует все традиционные методы вставки HTML через строки, такие как innerHTML. Вместо них разработчикам рекомендуется использовать безопасный API `Element.setHTML()` и `Document.parseHTML()`, что практически устраняет риски DOM XSS. Этот подход, вдохновленный идеей Jun Kokatsu, упрощает безопасность веб-приложений, перекладывая ответственность с разработчиков на браузерные API.

The article introduces the concept of 'Perfect Types' to eliminate DOM-based XSS risks. It advocates for a strict Content Security Policy (CSP) header — `require-trusted-types-for 'script'; trusted-types 'none';` — which disables all legacy HTML string insertion methods like innerHTML. Developers are then guided to use the new safe APIs, primarily `Element.setHTML()` and `Document.parseHTML()`, for secure HTML manipulation. Inspired by Jun Kokatsu's earlier work, this approach shifts security responsibility from developer-maintained policies to built-in browser safeguards, simplifying secure web development.