Co się zmienia
Ulepszamy bezpieczeństwo po stronie klienta w YouTube dzięki zaufanym typom. Zapewni to dodatkową warstwę ochrony interfejsów API Document Object Model (DOM) używanych przez rozszerzenia innych firm.
Zaufane typy wymagają, aby rozszerzenia przeglądarki innych firm używały typowanych obiektów zamiast ciągów tekstowych podczas przypisywania wartości do interfejsów DOM API. Od 25 lipca 2024 r. rozszerzenia przeglądarki, które nie spełniają wymagań bezpieczeństwa typów zaufanych, mogą przestać działać. Zachęcamy deweloperów takich rozszerzeń do zapoznania się z poniższym przewodnikiem Zapobieganie podatnościom na ataki oparte na skryptach w ramach DOM, aby zapewnić zgodność rozszerzeń z nowymi standardami bezpieczeństwa YouTube.
Dlaczego to ważne
Włączenie zaufanych typów w YouTube ochroni naszych użytkowników przed wieloma atakami typu cross-site scripting (XSS). Wprowadziliśmy też dodatkowe zaawansowane opcje ochrony danych, aby zapewnić bezpieczeństwo użytkowników i ich danych w większej liczbie rozszerzeń, z których korzystają codziennie w YouTube.
Co mam zrobić
Widzowie i twórcy
Nie musisz nic robić. Użytkownicy, którzy napotkają problemy, mogą tymczasowo wyłączyć rozszerzenia przeglądarki, które je powodują, i poinformować odpowiednich deweloperów. Jeśli masz problemy z odtwarzaniem filmu w YouTube, zalecamy otworzyć YouTube w oknie incognito, w którym wszystkie rozszerzenia są wyłączone. Więcej informacji o rozwiązywaniu problemów znajdziesz w tym artykule w Centrum pomocy.
Programiści
- Jeśli Twoje rozszerzenie modyfikuje kod HTML i użytkownik może z niego korzystać na stronie youtube.com, wykonaj te czynności, aby sprawdzić, czy rozszerzenia są zgodne i czy będą działać prawidłowo po wprowadzeniu funkcji:
- Zastępowanie nagłówków odpowiedzi za pomocą Narzędzi deweloperskich w Chrome Aby to zrobić, dodaj te informacje do lokalnych zastąpień nagłówka na stronie youtube.com:
Content-Security-Policy: require-trusted-types-for 'script' - Omiń usługę wątek w YouTube. Otwórz narzędzia dla programistów, przejdź na kartę Aplikacja i w sekcji Aplikacja wybierz „Pracownicy usługi”. W ustawieniach usług robotów zaznacz pole „Omijaj dla sieci”.
- Aby Ci pomóc, włącz automatyczne punkty przerwy w przypadku naruszeń związanych z zaufanym typem. Zaufane typy z założenia powodują błąd czasu wykonywania, jeśli zostanie wykryte naruszenie dotyczące zaufanych typów.
- Testowanie przepływów pracy dotyczących rozszerzeń. Jeśli wystąpi naruszenie zasad zaufanych typów, w konsoli deweloperskiej Narzędzi deweloperskich w Chrome pojawi się błąd (a także punkt przerwania, jeśli został włączony).
- Zastępowanie nagłówków odpowiedzi za pomocą Narzędzi deweloperskich w Chrome Aby to zrobić, dodaj te informacje do lokalnych zastąpień nagłówka na stronie youtube.com:
- Jeśli kod rozszerzenia zawiera naruszenia zasad dotyczących zaufanych typów, rozwiąż je, korzystając z instrukcji Zapobieganie podatnościom na ataki typu cross-site scripting w DOM. Istnieje kilka sposobów na zapewnienie zgodności z Trusted Types, np. usunięcie kodu,który powoduje naruszenie, użycie biblioteki (np. safevalues lub DOMPurify) albo utworzenie zasad dotyczących Trusted Types.
Warto też sprawdzić listę frameworków i bibliotek, które mogą pomóc w zapewnieniu zgodności rozszerzenia z Trusted Types (być może używasz starej biblioteki innej firmy, którą warto zaktualizować).
Aby zapewnić użytkownikom płynne działanie, zalecamy, aby rozszerzenia przeglądarki były zgodne z typami zaufanych aplikacji, zanim wdrożysz tę funkcję bezpieczeństwa w YouTube. Niespełnienie wymagań zgodności kodu z Trusted Types może spowodować nieprawidłowe działanie rozszerzeń innych firm, ponieważ przeglądarka będzie blokować ich manipulacje DOM.