安全研究人员发现了多个不受保护的属性，可以在某些情况下绕过广泛使用的Web安全机制Trusted Types。可信类型是一项重要技术，它允许网站定义处理各种DOM（文档对象模型）属性的严格规则，这是一种防止基于DOM的跨站点脚本(XSS)攻击的有用技术。著名研究员Masato Kinugawa发现的绕过方法使用属性属性绕过Trusted Types通常提供的保护。

Kinugawa发现，如果一个站点要使用这些属性并且容易受到DOM XSS的攻击，那么Trusted Types就不会保护它。如果站点通过nodeValue/textContent修改了现有属性值，如Chrome安全邮件列表中的帖子中所述，则Trusted Types将完全忽略该分配。

该漏洞在Chrome v100.0.4892.0(Official Build)canary(64-bit)中展示。其他版本的Chrome和其他浏览器可能存在漏洞，但尚未经过测试。

最新版本的Chrome解决了这个问题。

该漏洞被跟踪为CVE-2022-1494，据说涉及“可信类型中的数据验证不足”于2月16日首次报告，但细节直到上周才公开发布。