Yang berubah
Kami meningkatkan keamanan sisi klien YouTube dengan Jenis Tepercaya. Tindakan ini akan memberikan lapisan perlindungan tambahan terkait Document Object Model (DOM) API yang digunakan oleh ekstensi pihak ketiga.
Jenis Tepercaya mengharuskan ekstensi browser pihak ketiga menggunakan objek berjenis, bukan string saat menetapkan nilai ke DOM API. Mulai 25 Juli 2024, ekstensi browser yang tidak mematuhi persyaratan keamanan Jenis Tepercaya dapat berhenti berfungsi setelah penegakan kebijakan ini. Oleh karena itu, sebaiknya developer terkait untuk mengikuti panduan Mencegah kerentanan pembuatan skrip lintas situs berbasis DOM untuk memastikan ekstensi browser kompatibel dengan standar keamanan YouTube yang baru.
Mengapa ini penting
Mengaktifkan Jenis Tepercaya di YouTube akan melindungi pengguna kami dari berbagai serangan pembuatan skrip lintas situs (XSS). Kebijakan ini lebih meningkatkan kontrol perlindungan data lanjutan kami untuk menjaga keamanan pengguna dan data di lebih banyak ekstensi yang mereka gunakan setiap hari di YouTube.
Apa yang harus saya lakukan
Penonton dan kreator
Tidak perlu tindakan. Pengguna yang mengalami masalah dapat menonaktifkan ekstensi browser untuk sementara yang menyebabkan masalah dan memberi tahu developer terkait. Jika Anda mengalami masalah saat memutar video YouTube, sebaiknya buka YouTube di jendela samaran dengan semua ekstensi dinonaktifkan. Untuk langkah-langkah pemecahan masalah lainnya, lihat artikel Pusat Bantuan kami.
Developer
- Jika ekstensi Anda mengubah HTML, dan pengguna dapat menggunakannya di youtube.com, sebaiknya ikuti langkah-langkah berikut untuk memeriksa apakah ekstensi Anda kompatibel dan akan beroperasi dengan benar setelah penerapan fitur:
- Ganti header respons dengan bantuan Alat Developer Chrome. Untuk melakukannya, tambahkan teks berikut ke penggantian header lokal untuk youtube.com:
Content-Security-Policy: require-trusted-types-for 'script' - Abaikan Pekerja layanan YouTube. Buka alat pengembang, navigasi ke tab Application dan pilih "Service worker" di bagian Application. Centang "Abaikan untuk jaringan" di setelan Pekerja layanan.
- Sebagai bantuan, Anda dapat mengaktifkan titik henti sementara otomatis pada pelanggaran Jenis Tepercaya. Jenis Tepercaya secara desain akan menyebabkan error runtime jika pelanggaran Jenis Tepercaya terdeteksi.
- Uji alur kerja ekstensi Anda. Anda akan mendapatkan error di Konsol developer Chrome DevTools jika pelanggaran Jenis Tepercaya akan terjadi (serta hit titik henti sementara jika Anda telah mengaktifkannya).
- Ganti header respons dengan bantuan Alat Developer Chrome. Untuk melakukannya, tambahkan teks berikut ke penggantian header lokal untuk youtube.com:
- Jika kode ekstensi Anda berisi pelanggaran Jenis Tepercaya, ikuti panduan Mencegah kerentanan pembuatan skrip lintas situs berbasis DOM untuk mengatasinya. Ada beberapa cara agar mematuhi Jenis Tepercaya, seperti menghapus kode yang melanggar, menggunakan library (seperti safevalues atau DOMPurify), atau membuat kebijakan Jenis Tepercaya.
Sebaiknya Anda juga memeriksa daftar framework dan library ini yang dapat membantu membuat ekstensi Anda mematuhi Trusted Types (Anda mungkin menggunakan library pihak ketiga lama yang layak diupdate).
Untuk memastikan pengalaman yang lancar bagi pengguna, sebaiknya ekstensi browser dibuat sesuai dengan Jenis Tepercaya sebelum fitur keamanan diluncurkan di YouTube. Kegagalan membuat kode yang sesuai dengan Jenis Tepercaya dapat menyebabkan kerusakan fitur untuk ekstensi pihak ketiga karena manipulasi DOM-nya akan diblokir oleh browser.