מה עומד להשתנות
אנחנו משפרים את האבטחה בצד הלקוח של YouTube באמצעות סוגי נתונים מהימנים. כך תתווסף שכבת הגנה נוספת סביב ממשקי ה-API של Document Object Model (DOM) שבהם משתמשים תוספים של צד שלישי.
כשמשתמשים ב-Trusted Types, תוספים לדפדפנים של צד שלישי צריכים להשתמש באובייקטים מסוגים מוגדרים במקום במחרוזות כשמקצים ערכים לממשקי API של DOM. החל מ-25 ביולי 2024, תוספים לדפדפן שלא עומדים בדרישות האבטחה של סוגי הקבצים המהימנים עשויים להפסיק לפעול אחרי האכיפה. לכן, אנחנו ממליצים למפתחים המתאימים לפעול לפי ההנחיות במאמר מניעת נקודות חולשה של סקריפטים מבוססי-DOM באתרים שונים כדי לוודא שתוספים לדפדפן תואמים לתקני האבטחה החדשים של YouTube.
למה זה חשוב
הפעלת 'סוגים מהימנים' ב-YouTube תגן על המשתמשים שלנו מפני מגוון רחב של תקיפות של פרצת אבטחה XSS (cross-site scripting). הוא משפר את אמצעי הבקרה המתקדמים שלנו להגנה על נתונים, כדי להגן על המשתמשים והנתונים בעוד תוספים שהם משתמשים בהם מדי יום ב-YouTube.
מה עליי לעשות
צופים ויוצרים
לא נדרשת כל פעולה. משתמשים שנתקלים בבעיות יכולים להשבית באופן זמני את תוספי הדפדפן שגורמים לבעיות ולהודיע למפתחים המתאימים. אם אתם נתקלים בבעיות בהפעלת סרטון ב-YouTube, מומלץ לפתוח את YouTube בחלון פרטי שבו כל התוספים מושבתים. במאמר הזה במרכז העזרה מפורטות דרכים נוספות לפתרון בעיות.
מפתחים
- אם התוסף שלכם מבצע שינויים ב-HTML, ומשתמש יכול להשתמש בו ב-youtube.com, מומלץ לפעול לפי השלבים הבאים כדי לבדוק אם התוספים תואמים ויפעלו כראוי אחרי אכיפת התכונה:
- שינוי של כותרות התגובה בעזרת הכלים למפתחים ב-Chrome כדי לעשות זאת, מוסיפים את הקוד הבא לשינויים המקומיים בכותרות של youtube.com:
Content-Security-Policy: require-trusted-types-for 'script' - עקיפה של YouTube Service worker. פותחים את הכלים למפתחים, עוברים לכרטיסייה 'אפליקציה' ובוחרים באפשרות 'שירותי עבודה' בקטע 'אפליקציה'. מסמנים את האפשרות 'עקיפה לרשת' בהגדרות של שירותי ה-Workers.
- כדי לעזור לכם, תוכלו להפעיל נקודות עצירה אוטומטיות במקרה של הפרות של Trusted Type. מעצם הגדרתו, Trusted Types יגרום לשגיאה בסביבת זמן הריצה אם תזוהה הפרה של Trusted Types.
- בודקים את תהליכי העבודה של התוספים. אם תהיה הפרה של Trusted Types, תופיע שגיאה במסוף הפיתוח של Chrome DevTools (וגם פגיעה בנקודת העצירה אם הפעלתם אותה).
- שינוי של כותרות התגובה בעזרת הכלים למפתחים ב-Chrome כדי לעשות זאת, מוסיפים את הקוד הבא לשינויים המקומיים בכותרות של youtube.com:
- אם קוד התוסף מכיל הפרות של סוגים מהימנים, יש לפעול לפי ההוראות במדריך מניעת נקודות חולשה של סקריפטים חוצי-אתרים שמבוססים על DOM כדי לפתור אותן. יש כמה דרכים לעמוד בדרישות של Trusted Types, למשל הסרת הקוד הפוגע, שימוש בספרייה (כמו safevalues או DOMPurify) או יצירת מדיניות של Trusted Types.
כדאי גם לעיין ברשימה הזו של מסגרות וספריות שיכולות לעזור לכם להפוך את התוסף לתאימות ל-Trusted Types (יכול להיות שאתם משתמשים בספרייה ישנה של צד שלישי ששווה לעדכן).
כדי להבטיח חוויית שימוש חלקה למשתמשים, מומלץ לוודא שהתוספים לדפדפן עומדים בדרישות של Trusted Types לפני השקת תכונת האבטחה ב-YouTube. אם לא תגרמו לקוד לעמוד בדרישות של Trusted Types, יכול להיות שתכונות של תוספים של צד שלישי לא יפעלו כי הדפדפן יחסום את פעולות ה-DOM שלהם.