主要观点：Trusted Types 是 Google 提出的提案，目前在所有浏览器中受到关注和工作，旨在防止跨站脚本攻击（XSS），基于内容安全策略（CSP）。
关键信息：

• 有新的全局trustedTypes对象，可创建“策略”，如createPolicy创建TrustedHTML等。
• 所有设置 HTML 的尝试都会被净化，如target.innerHTML = str会自动清除onerror属性。
• 可通过Content-Security-Policy-Report-Only监控站点 XSS 问题，发送违规报告。
• 有关于 CSP 头指令的详细说明，如require-trusted-types-for和trusted-types等。
  重要细节：
• TrustedHTML可视为表示字符串已被特殊“祝福”为安全的接口。
• 可在头部指定允许创建的策略名称，未在列表中的策略创建尝试会抛出异常。
• 信任在客户端进行，模式确保问题更有限，更容易审计信任是否合理。
• 除了Content-Security-Policy，还有Content-Security-Policy-Report-Only用于监控违规。
• 正在研究标准的消毒器 API（https://github.com/WICG/sanit...）。