Trusted Types заставляет API вроде element.innerHTML принимать только обёрнутые значения — снижая риск XSS от пользовательского контента и виджетов.
Работает в связке с Content-Security-Policy; без политики браузер не блокирует опасные присваивания.
- [Trusted Types — W3C](https://www.w3.org/TR/trusted-types/) — Спецификация API.
- [OWASP DOM based XSS](https://owasp.org/www-community/attacks/DOM_Based_XSS) — Векторы DOM-XSS.
---
## Внедрение
Начните с report-only CSP и логов нарушений; санитайзер (DOMPurify) оборачивайте в фабрику TrustedHTML.
Сторонние скрипты без поддержки TT могут потребовать исключений — документируйте их в реестре.