מה עומד להשתנות
אנחנו משפרים את האבטחה של YouTube בצד הלקוח בעזרת סוגים מהימנים. הפעולה הזו תספק שכבת הגנה נוספת מסביב לממשקי API של Document Object Model (DOM) שמשמשים תוספים של צד שלישי.
כדי להשתמש ב'סוגים מהימנים', תוספי דפדפן של צד שלישי צריכים להשתמש באובייקטים מסוגלים במקום במחרוזות כשמקצים ערכים לממשקי DOM API. החל מ-25 ביולי 2024, תוספי דפדפן שלא עומדים בדרישות האבטחה של 'סוגים מהימנים' עלולים להפסיק לפעול לאחר האכיפה. לכן, אנחנו ממליצים למפתחים המתאימים לפעול לפי המדריך למניעת נקודות חולשה של סקריפטים מבוססי DOM באתרים שונים כדי לוודא שתוספי הדפדפן תואמים לתקני האבטחה החדשים של YouTube.
למה זה חשוב
הפעלת סוגים מהימנים ב-YouTube תגן על המשתמשים שלנו מפני קבוצה נרחבת של מתקפות XSS (cross-site scripting). הוא משפר את אמצעי הבקרה המתקדמים שלנו להגנה על נתונים, כדי לשמור על בטיחות המשתמשים והנתונים ביותר תוספים שבהם הם משתמשים מדי יום ב-YouTube.
מה צריך לעשות?
צופים ויוצרים
לא נדרשת כל פעולה. משתמשים שנתקלו בבעיות עשויים להשבית באופן זמני תוספי דפדפן שגורמים לבעיות וליידע את המפתחים המתאימים. אם אתם נתקלים בבעיות בהפעלת סרטון ב-YouTube, מומלץ לפתוח את YouTube בחלון פרטי שבו כל התוספים מושבתים. שלבים נוספים לפתרון בעיות זמינים במאמר הזה במרכז העזרה.
מפתחים
- אם התוסף משנה את ה-HTML והמשתמש יכול להשתמש בו באתר youtube.com, אנחנו ממליצים לבצע את השלבים הבאים כדי לבדוק אם התוספים תואמים ויפעלו כראוי לאחר אכיפת התכונה:
- שינוי כותרות תגובה בעזרת הכלים למפתחים של Chrome. כדי לעשות את זה, צריך להוסיף את הטקסט הבא לשינויי הכותרות המקומיים של youtube.com:
Content-Security-Policy: require-trusted-types-for 'script' - ביצוע מעקף של פועל שירות של YouTube. פותחים כלים למפתחים, מנווטים לכרטיסייה 'אפליקציות' ובוחרים באפשרות 'עובדי שירות' בקטע 'אפליקציה'. בודקים את האפשרות 'מעקף לרשת' בהגדרות של Service Worker.
- כדי לעזור לכם, אתם יכולים להפעיל נקודות עצירה אוטומטיות (breakpoint) אוטומטית בהפרות של סוג מהימנות. מעצם הגדרתן, 'סוגים מהימנים' יגרמו לשגיאה בזמן הריצה אם תזוהה הפרה של 'סוגים מהימנים'.
- בדיקת תהליכי העבודה של התוספים. אם תתרחש הפרה של סוגי נתונים מהימנים, תוצג הודעת שגיאה במסוף המפתחים של כלי הפיתוח ל-Chrome (וכך גם תגיע לנקודת עצירה אם הפעלת אותה).
- שינוי כותרות תגובה בעזרת הכלים למפתחים של Chrome. כדי לעשות את זה, צריך להוסיף את הטקסט הבא לשינויי הכותרות המקומיים של youtube.com:
- אם קוד התוסף מכיל הפרות שקשורות לסוגים מהימנים, צריך לפעול לפי המדריך למנוע נקודות חולשה של סקריפטים מבוססי-DOM באתרים שונים כדי לפתור אותן. יש כמה דרכים לעמוד בדרישות של סוגים מהימנים, כמו הסרת הקוד הבעייתי, שימוש בספרייה (כמו safevalues או DOMPurify) או יצירת מדיניות לגבי סוגים מהימנים.
כדאי גם לעיין ברשימה הזו של מסגרות וספריות שיעזרו לך לוודא שהתוסף תואם לסוגים מהימנים (יכול להיות שאתה משתמש בספרייה ישנה של צד שלישי שכדאי לעדכן).
כדי להבטיח חוויה חלקה למשתמשים, מומלץ לוודא שתוספי הדפדפן עומדים בדרישות של 'סוגים מהימנים' לפני ההשקה של תכונת האבטחה ב-YouTube. התאמה של הקוד לסוגים מהימנים עלולה לגרום לשיבושים בתכונות של תוספים של צד שלישי כי מניפולציות ה-DOM שלהם ייחסמו על ידי הדפדפן.