1. Web
  2. HTTP
  3. Référence
  4. En-têtes
  5. Content-Security-Policy
  6. trusted-types

Cette page a été traduite à partir de l'anglais par la communauté. Vous pouvez contribuer en rejoignant la communauté francophone sur MDN Web Docs.

View in English Always switch to English

Content-Security-Policy : directive trusted-types

Baseline 2026
Nouvellement disponible

Depuis February 2026, cette fonctionnalité fonctionne sur les appareils et les versions de navigateur les plus récents. Elle peut ne pas fonctionner sur les appareils ou navigateurs plus anciens.

La directive HTTP Content-Security-Policy (CSP) trusted-types est utilisée pour définir une liste blanche de noms de règles de types de confiance qu'un site web peut créer en utilisant trustedTypes.createPolicy().

Cela empêche le code du site web de créer des règles inattendues, ce qui facilite l'audit du code de types de confiance (createPolicy() générera une exception si un nom qui n'est pas répertorié dans trusted-types est passé).

Note : La directive require-trusted-types-for doit être définie pour activer l'application des types de confiance, et le mot-clé trusted-types-eval est utilisé pour assouplir les restrictions sur eval() et Function() lorsque les types de confiance sont activés.

Voir l'API Trusted Types pour plus d'informations.

Syntaxe

http
Content-Security-Policy: trusted-types;
Content-Security-Policy: trusted-types 'none';
Content-Security-Policy: trusted-types <policyName>;
Content-Security-Policy: trusted-types <policyName> <policyName> 'allow-duplicates';
<policyName>

Un nom de règle valide ne contient que des caractères alphanumériques, ou l'un des caractères -#=_/@.%. Une astérisque (*) comme nom de règle informe l'agent utilisateur d'autoriser tout nom de règle unique (allow-duplicates pourrait assouplir cela davantage).

'none'

Interdit la création de toute règle de Trusted Type (identique au fait de ne renseigner aucun <policyName>).

'allow-duplicates'

Autorise la création de règles dont le nom a déjà été utilisé.

Exemples

js
// Content-Security-Policy: trusted-types toto tata 'allow-duplicates';

if (typeof trustedTypes !== "undefined") {
  const politiqueToto = trustedTypes.createPolicy("toto", {});
  const politiqueToto2 = trustedTypes.createPolicy("toto", {});
  const politiqueTata = trustedTypes.createPolicy("tata", {}); // Lève et déclenche un évènement SecurityPolicyViolationEvent.
}

Spécifications

Spécification
Trusted Types
# trusted-types-csp-directive

Compatibilité des navigateurs

Voir aussi

Aider à améliorer MDN

Apprendre à contribuer

Cette page a été modifiée le par les contributeur·ice·s du MDN.

Voir cette page sur GitHubSignaler un problème avec ce contenu