Ce qui change
Nous améliorons la sécurité côté client de YouTube grâce aux Trusted Types. Les API Document Object Model (DOM) utilisées par les extensions tierces bénéficieront ainsi d'un niveau de protection supplémentaire.
Les Trusted Types requièrent que les extensions de navigateur tierces utilisent des objets saisis plutôt que des chaînes lorsqu'elles attribuent des valeurs aux API DOM. À partir du 25 juillet 2024, les extensions de navigateur qui ne respectent pas les exigences de sécurité Trusted Types risquent de ne plus fonctionner après l'application. Nous encourageons donc les développeurs correspondants à suivre le guide Empêcher les failles de script intersites basé sur le DOM pour s'assurer que les extensions de navigateur sont compatibles avec les nouvelles normes de sécurité YouTube.
Pourquoi est-ce important ?
L'activation des Trusted Types sur YouTube protège nos utilisateurs contre un grand nombre d'attaques par script intersites (XSS). Elle améliore encore nos paramètres avancés de protection des données afin de garantir la sécurité des utilisateurs et des données dans un plus grand nombre d'extensions qu'ils utilisent au quotidien sur YouTube.
Que dois-je faire ?
Spectateurs et créateurs
Aucune action n'est requise. Les utilisateurs qui rencontrent des problèmes peuvent désactiver temporairement les extensions de navigateur qui posent problème et informer les développeurs correspondants. Si vous rencontrez des problèmes lors de la lecture d'une vidéo YouTube, nous vous recommandons d'ouvrir YouTube dans une fenêtre de navigation privée en désactivant toutes les extensions. Pour découvrir d'autres étapes de dépannage, consultez cet article du Centre d'aide.
Développeurs
- Si votre extension modifie le code HTML et qu'un utilisateur peut l'utiliser sur youtube.com, nous vous recommandons de suivre ces étapes pour vérifier si vos extensions sont compatibles et fonctionneront correctement une fois la fonctionnalité mise en application :
- Remplacer les en-têtes de réponse à l'aide des outils pour les développeurs Chrome Pour ce faire, ajoutez ce qui suit dans les remplacements d'en-tête locaux pour youtube.com:
Content-Security-Policy: require-trusted-types-for 'script'
- Contournez le service worker YouTube. Ouvrez les outils pour les développeurs, accédez à l'onglet "Application", puis sélectionnez "Service workers" dans la section "Application". Cochez la case "Ignorer pour le réseau" dans les paramètres des service workers.
- Pour vous aider, vous pouvez activer des points d'arrêt automatiques en cas de non-respect des règles de Trusted Type. Par définition, les Trusted Types génèrent une erreur d'exécution si un cas de non-respect des Trusted Types est détecté.
- Testez les workflows de vos extensions. En cas de non-respect des Trusted Types, vous recevrez un message d'erreur dans la console pour les développeurs des outils pour les développeurs Chrome (ainsi qu'un appel de point d'arrêt si vous l'avez activé).
- Remplacer les en-têtes de réponse à l'aide des outils pour les développeurs Chrome Pour ce faire, ajoutez ce qui suit dans les remplacements d'en-tête locaux pour youtube.com:
- Si votre code d'extension ne respecte pas les Trusted Types, suivez le guide Empêcher les failles de script intersites basé sur le DOM pour les corriger. Il existe plusieurs façons de respecter les Trusted Types. Par exemple, vous pouvez supprimer le code incriminé, utiliser une bibliothèque (comme safevalues ou DOMPurify) ou créer une règle Trusted Types.
Nous vous conseillons également de consulter cette liste de frameworks et de bibliothèques pour rendre votre extension conforme aux Trusted Types (vous utilisez peut-être une ancienne bibliothèque tierce qui mérite d'être mise à jour).
Pour offrir une expérience fluide aux utilisateurs, nous vous recommandons de rendre les extensions de navigateur conformes aux Trusted Types avant le déploiement de la fonctionnalité de sécurité sur YouTube. Si votre code ne respecte pas les Trusted Types, les fonctionnalités des extensions tierces risquent d'être interrompues, car leurs manipulations DOM seront bloquées par le navigateur.