Qué cambiará
Estamos mejorando la seguridad del cliente de YouTube con Trusted Types. Esto proporcionará una capa adicional de protección para las APIs del Modelo de objetos del documento (DOM) que usan las extensiones de terceros.
Trusted Types requiere extensiones de navegador de terceros para usar objetos escritos en lugar de cadenas cuando se asignan valores a las APIs del DOM. A partir del 25 de julio de 2024, es posible que las extensiones de navegador que no cumplan con los requisitos de seguridad de Trusted Types dejen de funcionar después de aplicarlas, por lo que recomendamos a los desarrolladores correspondientes que sigan la guía Cómo evitar las vulnerabilidades de secuencias de comandos entre sitios basadas en DOM para garantizar que las extensiones de navegador sean compatibles con los nuevos estándares de seguridad de YouTube.
¿Por qué es importante?
Habilitar Trusted Types en YouTube protegerá a nuestros usuarios contra un amplio conjunto de ataques de secuencias de comandos entre sitios (XSS). Además, mejora aún más nuestros controles de protección de datos avanzados para mantener seguros a los usuarios y los datos en más de las extensiones que usan a diario en YouTube.
¿Qué debo hacer?
Usuarios y creadores
No se requiere ninguna acción. Los usuarios que experimentan problemas pueden inhabilitar temporalmente las extensiones del navegador que causan problemas e informar a los desarrolladores correspondientes. Si tienes problemas para reproducir un video de YouTube, te recomendamos que abras la plataforma en una ventana de incógnito con todas las extensiones inhabilitadas. Si quieres conocer más pasos para solucionar problemas, consulta nuestro artículo del Centro de ayuda.
Desarrolladores
- Si tu extensión modifica HTML y un usuario podría usarla en youtube.com, te recomendamos que sigas estos pasos para verificar si tus extensiones son compatibles y funcionarán correctamente después de que se aplique la función:
- Anula los encabezados de respuesta con la ayuda de las Herramientas para desarrolladores de Chrome. Para ello, agrega lo siguiente a las anulaciones de encabezados locales para youtube.com:
Content-Security-Policy: require-trusted-types-for 'script' - Omite el service worker de YouTube. Abre las herramientas para desarrolladores, ve a la pestaña Application y selecciona “Service workers” en la sección Application. Marca "Omitir para la red" en la configuración de los service workers.
- Como ayuda, puedes habilitar las interrupciones automáticas en los incumplimientos de Trusted Type. Por diseño, Trusted Types causará un error de tiempo de ejecución si se detecta un incumplimiento de Trusted Types.
- Prueba los flujos de trabajo de tus extensiones. Si se produce un incumplimiento de Trusted Types, se mostrará un error en la consola del desarrollador de Herramientas para desarrolladores de Chrome (y, si lo habilitaste, si se produce un punto de interrupción).
- Anula los encabezados de respuesta con la ayuda de las Herramientas para desarrolladores de Chrome. Para ello, agrega lo siguiente a las anulaciones de encabezados locales para youtube.com:
- Si el código de tu extensión contiene incumplimientos de Trusted Types, sigue la guía Cómo evitar las vulnerabilidades de secuencias de comandos entre sitios basadas en DOM para resolverlos. Existen varias formas de cumplir con Trusted Types, como quitar el código infractor, usar una biblioteca (como safevalues o DOMPurify) o crear una política de Trusted Types.
También te recomendamos consultar esta lista de frameworks y bibliotecas que podrían ayudar a que tu extensión cumpla con Trusted Types (es posible que estés usando una biblioteca de terceros antigua que vale la pena actualizar).
Para garantizar una experiencia fluida para los usuarios, se recomienda que las extensiones del navegador cumplan con Trusted Types antes de que se lance la función de seguridad en YouTube. Si el código no cumple con Trusted Types, es posible que se generen fallas en las funciones de las extensiones de terceros, ya que el navegador bloqueará las manipulaciones del DOM.