Yang berubah
Kami meningkatkan keamanan sisi klien YouTube dengan Jenis Tepercaya. Hal ini akan memberikan lapisan perlindungan tambahan di sekitar API Document Object Model (DOM) yang digunakan oleh ekstensi pihak ketiga.
Jenis Tepercaya mewajibkan ekstensi browser pihak ketiga untuk menggunakan objek berjenis, bukan string saat menetapkan nilai ke DOM API. Mulai 25 Juli 2024, ekstensi browser yang tidak mematuhi persyaratan keamanan Jenis Tepercaya dapat berhenti berfungsi setelah penerapan. Jadi, sebaiknya developer yang bersangkutan mengikuti panduan Mencegah kerentanan skrip lintas situs berbasis DOM untuk memastikan ekstensi browser kompatibel dengan standar keamanan YouTube yang baru.
Alasan pentingnya
Mengaktifkan Jenis Tepercaya di YouTube akan melindungi pengguna kami dari berbagai serangan pembuatan skrip lintas situs (XSS). Hal ini semakin meningkatkan kontrol perlindungan data lanjutan kami untuk menjaga keamanan pengguna dan data di lebih banyak ekstensi yang mereka gunakan setiap hari di YouTube.
Apa yang harus saya lakukan
Penonton dan kreator
Tidak diperlukan tindakan. Pengguna yang mengalami masalah dapat menonaktifkan sementara ekstensi browser yang menyebabkan masalah dan memberi tahu developer terkait. Jika Anda mengalami masalah saat memutar video YouTube, sebaiknya buka YouTube di jendela samaran dengan semua ekstensi dinonaktifkan. Untuk langkah pemecahan masalah lainnya, lihat artikel Pusat Bantuan kami.
Developer
- Jika ekstensi Anda mengubah HTML, dan pengguna dapat menggunakannya di youtube.com, sebaiknya ikuti langkah-langkah berikut untuk memeriksa apakah ekstensi Anda kompatibel dan akan beroperasi dengan benar setelah penerapan fitur:
- Ganti header respons dengan bantuan Chrome Developer Tools. Untuk melakukannya, tambahkan kode berikut ke penggantian header lokal untuk youtube.com:
Content-Security-Policy: require-trusted-types-for 'script' - Mengabaikan Pekerja Layanan YouTube. Buka alat developer, buka tab Aplikasi, lalu pilih "Pekerja layanan" di bagian Aplikasi. Centang "Bypass for network" di setelan Pekerja layanan.
- Sebagai bantuan, Anda dapat mengaktifkan titik henti sementara otomatis pada pelanggaran Jenis Tepercaya. Secara desain, Jenis Tepercaya akan menyebabkan error runtime jika pelanggaran Jenis Tepercaya terdeteksi.
- Uji alur kerja ekstensi Anda. Anda akan mendapatkan error di Konsol developer Chrome DevTools jika pelanggaran Jenis Tepercaya akan terjadi (serta titik henti sementara jika Anda telah mengaktifkannya).
- Ganti header respons dengan bantuan Chrome Developer Tools. Untuk melakukannya, tambahkan kode berikut ke penggantian header lokal untuk youtube.com:
- Jika kode ekstensi Anda berisi pelanggaran Jenis Tepercaya, ikuti panduan Mencegah kerentanan pembuatan skrip lintas situs berbasis DOM untuk mengatasinya. Ada beberapa cara untuk mematuhi Trusted Types, seperti menghapus kode yang melanggar, menggunakan library (seperti safevalues atau DOMPurify), atau membuat kebijakan Trusted Types.
Anda juga dapat memeriksa daftar framework dan library ini yang dapat membantu membuat ekstensi Anda mematuhi Jenis Tepercaya (Anda mungkin menggunakan library pihak ketiga lama yang perlu diupdate).
Untuk memastikan pengalaman yang lancar bagi pengguna, sebaiknya ekstensi browser dibuat agar mematuhi Jenis Tepercaya sebelum fitur keamanan diluncurkan di YouTube. Kegagalan untuk membuat kode Jenis Tepercaya mematuhi kebijakan dapat menyebabkan kerusakan fitur untuk ekstensi pihak ketiga karena manipulasi DOM-nya akan diblokir oleh browser.