Wat verandert er
We verbeteren de beveiliging van YouTube aan de clientzijde met Trusted Types . Dit biedt een extra beschermingslaag rond Document Object Model (DOM) API's die worden gebruikt door extensies van derden.
Trusted Types vereist dat browserextensies van derden getypte objecten gebruiken in plaats van tekenreeksen bij het toewijzen van waarden aan DOM API's. Vanaf 25 juli 2024 werken browserextensies die niet voldoen aan de beveiligingsvereisten van Trusted Types mogelijk niet meer na handhaving. Daarom moedigen we overeenkomstige ontwikkelaars aan om de gids Prevent DOM-based cross-site scripting vulnerabilitys te volgen om ervoor te zorgen dat browserextensies compatibel zijn met nieuwe YouTube-beveiligingsnormen.
Waarom het belangrijk is
Door Trusted Types op YouTube in te schakelen, worden onze gebruikers beschermd tegen een groot aantal cross-site scripting (XSS)-aanvallen. Het verbetert onze geavanceerde gegevensbeschermingscontroles verder om gebruikers en gegevens veilig te houden in meer van de extensies die ze dagelijks op YouTube gebruiken.
Wat moet ik doen
Kijkers en makers
Geen actie nodig. Gebruikers die problemen ondervinden, kunnen browserextensies die problemen veroorzaken tijdelijk uitschakelen en de betreffende ontwikkelaars hiervan op de hoogte stellen . Als je problemen ondervindt bij het afspelen van een YouTube-video, raden we je aan YouTube in een incognitovenster te openen en alle extensies uitgeschakeld. Raadpleeg ons Helpcentrum-artikel voor meer stappen voor probleemoplossing.
Ontwikkelaars
- Als uw extensie HTML aanpast en een gebruiker deze op youtube.com zou kunnen gebruiken, raden we u aan deze stappen te volgen om te controleren of uw extensies compatibel zijn en correct zullen werken nadat de functie is afgedwongen:
- Overschrijf antwoordheaders met behulp van Chrome Developer-tools . Voeg hiervoor het volgende toe aan de lokale header-overschrijvingen voor youtube.com:
Content-Security-Policy: require-trusted-types-for 'script' - Omzeil de YouTube-servicemedewerker . Open ontwikkelaarstools, navigeer naar het tabblad Applicatie en selecteer 'Servicemedewerkers' in het gedeelte Applicatie. Vink "Overbruggen voor netwerk" aan in de instellingen van Servicewerkers.
- Als hulpmiddel kunt u automatische breekpunten bij Trusted Type-schendingen inschakelen . Het is zo dat Trusted Types een runtimefout veroorzaakt als er een schending van Trusted Types wordt gedetecteerd.
- Test uw extensieworkflows. U krijgt een foutmelding in de Chrome DevTools-ontwikkelaarsconsole als er een schending van Trusted Types plaatsvindt (evenals een breekpunthit als u deze heeft ingeschakeld).
- Overschrijf antwoordheaders met behulp van Chrome Developer-tools . Voeg hiervoor het volgende toe aan de lokale header-overschrijvingen voor youtube.com:
- Als uw extensiecode schendingen van Trusted Types bevat, volgt u de handleiding Voorkom DOM-gebaseerde cross-site scripting-kwetsbaarheden om deze op te lossen. Er zijn verschillende manieren om aan Trusted Types te voldoen, zoals het verwijderen van de aanstootgevende code, het gebruik van een bibliotheek (zoals safevalues of DOMPurify ) of het maken van een Trusted Types-beleid .
Mogelijk wilt u ook deze lijst met frameworks en bibliotheken bekijken die u kunnen helpen uw extensie Trusted Types-compatibel te maken (u gebruikt mogelijk een oude bibliotheek van derden die de moeite waard is om te updaten).
Om een naadloze ervaring voor gebruikers te garanderen, wordt aanbevolen dat browserextensies Trusted Types-compatibel worden gemaakt voordat de beveiligingsfunctie op YouTube wordt uitgerold. Als de code van Trusted Types niet compatibel wordt gemaakt , kan dit leiden tot functiestoringen voor extensies van derden, omdat hun DOM-manipulaties door de browser worden geblokkeerd.