O que muda?
Estamos melhorando a segurança do lado do cliente do YouTube com os Tipos confiáveis. Isso vai dar uma camada extra de proteção às APIs do Modelo de objeto de documentos (DOM) usadas por extensões de terceiros.
Os Tipos confiáveis exigem que as extensões de navegador de terceiros usem objetos tipados em vez de strings para atribuir valores às APIs do DOM. A partir de 25 de julho de 2024, as extensões de navegador que não estiverem em conformidade com os requisitos de segurança de tipos confiáveis poderão deixar de funcionar após a aplicação. Por isso, recomendamos que os desenvolvedores sigam o guia Prevenir vulnerabilidades de script entre sites com base no DOM para garantir que as extensões de navegador sejam compatíveis com os novos padrões de segurança do YouTube.
Por que isso é importante
Ativar os tipos confiáveis no YouTube protege nossos usuários contra um grande número de ataques de scripting em vários locais (XSS). Ele melhora ainda mais nossos controles avançados de proteção de dados para manter os usuários e os dados seguros em mais extensões que eles usam todos os dias no YouTube.
O que devo fazer
Espectadores e criadores de conteúdo
Nenhuma ação é necessária. Os usuários que tiverem problemas podem desativar temporariamente as extensões do navegador que estão causando problemas e informar os desenvolvedores correspondentes. Se você estiver com problemas para assistir um vídeo do YouTube, abra o YouTube em uma janela anônima com todas as extensões desativadas. Para mais etapas de solução de problemas, consulte nosso artigo da Central de Ajuda.
Desenvolvedores
- Se a sua extensão modificar o HTML e um usuário puder usá-la no youtube.com, siga estas etapas para verificar se as extensões são compatíveis e vão funcionar corretamente após a aplicação do recurso:
- Substitua os cabeçalhos de resposta com a ajuda das Ferramentas para desenvolvedores do Chrome. Para isso, adicione o seguinte às substituições de cabeçalho local para youtube.com:
Content-Security-Policy: require-trusted-types-for 'script' - Ignorar o service worker do YouTube. Abra as ferramentas para desenvolvedores, navegue até a guia "Application" e selecione "Service workers" na seção "Application". Marque "Ignorar para rede" nas configurações dos workers de serviço.
- Para ajudar, você pode ativar pontos de interrupção automáticos em violações de tipo confiável. Por design, os Tipos confiáveis vão causar um erro de execução se uma violação de Tipos confiáveis for detectada.
- Teste os fluxos de trabalho da extensão. Você vai receber um erro no console do desenvolvedor do Chrome DevTools se uma violação de Tipos confiáveis ocorrer (assim como um ponto de interrupção, se você tiver ativado).
- Substitua os cabeçalhos de resposta com a ajuda das Ferramentas para desenvolvedores do Chrome. Para isso, adicione o seguinte às substituições de cabeçalho local para youtube.com:
- Se o código da extensão tiver violações de Tipos confiáveis, siga o guia Prevenir vulnerabilidades de script entre sites com base no DOM para resolvê-las. Existem várias maneiras de estar em conformidade com os Tipos confiáveis, como remover o código que apresentou problemas, usar uma biblioteca (como safevalues ou DOMPurify) ou criar uma política de Tipos confiáveis.
Confira também esta lista de frameworks e bibliotecas que podem ajudar a tornar sua extensão compatível com os Tipos confiáveis. Talvez você esteja usando uma biblioteca de terceiros antiga que vale a pena atualizar.
Para garantir uma experiência excelente para os usuários, recomendamos que as extensões do navegador sejam compatíveis com os Tipos confiáveis antes que o recurso de segurança seja lançado no YouTube. A incompatibilidade do código com os Tipos confiáveis pode causar falha de recursos para extensões de terceiros, porque as manipulações de DOM acabam sendo bloqueadas pelo navegador.