Trusted Types: снижение DOM-XSS при вставке HTML из CMS

Trusted Types заставляет API вроде element.innerHTML принимать только обёрнутые значения — снижая риск XSS от пользовательского контента и виджетов.

Работает в связке с Content-Security-Policy; без политики браузер не блокирует опасные присваивания.

- [Trusted Types — W3C](https://www.w3.org/TR/trusted-types/) — Спецификация API.

- [OWASP DOM based XSS](https://owasp.org/www-community/attacks/DOM_Based_XSS) — Векторы DOM-XSS.

---

## Внедрение

Начните с report-only CSP и логов нарушений; санитайзер (DOMPurify) оборачивайте в фабрику TrustedHTML.

Сторонние скрипты без поддержки TT могут потребовать исключений — документируйте их в реестре.