変更点
YouTube のクライアントサイド セキュリティを Trusted Types で高めることにいたしました。これにより、サードパーティ製拡張機能で使用されているドキュメント オブジェクト モデル(DOM)の API に関する保護が強化されます。
Trusted Types では、サードパーティ製ブラウザ拡張機能が DOM API に値を割り当てる際に、文字列の代わりに型付きオブジェクトを使用する必要があります。2024 年 7 月 25 日より、信頼できる型のセキュリティ要件に準拠していないブラウザ拡張機能は、適用後に動作しなくなる可能性があります。対応するデベロッパーは、DOM ベースのクロスサイト スクリプティングの脆弱性を防ぐガイドに沿って、ブラウザ拡張機能が新しい YouTube セキュリティ基準と互換性があることを確認することをおすすめします。
利点
YouTube で Trusted Types を有効にすると、さまざまなクロスサイト スクリプティング(XSS)攻撃からユーザーを保護できます。これにより、YouTube で日常的に使用するより多くの拡張機能で高度なデータ保護がさらに強化され、ユーザーとデータの安全が守られます。
対処方法
視聴者とクリエイター
対応は不要です。問題が発生した場合は、問題を引き起こしているブラウザ拡張機能を一時的に無効にすると、対応するデベロッパーに報告できます。YouTube 動画の再生に問題がある場合は、すべての拡張機能を無効にした状態のシークレット ウィンドウで YouTube を開くことをおすすめします。トラブルシューティングの手順については、ヘルプセンター記事をご覧ください。
デベロッパー
- 拡張機能が HTML を変更し、ユーザーが youtube.com で使用できる場合は、次の手順に沿って、拡張機能が互換性があり、機能の適用後に適切に動作するかどうかを確認することをおすすめします。
- Chrome デベロッパー ツールを使用してレスポンス ヘッダーをオーバーライドする。そのためには、youtube.com のローカル ヘッダー オーバーライドに以下を追加します。
Content-Security-Policy: require-trusted-types-for 'script' - YouTube Service Worker をバイパスします。デベロッパー ツールを開き、[Application] タブに移動して、[Application] セクションで [Service workers] を選択します。Service Workers の設定で [ネットワークでバイパス] をオンにします。
- 信頼できる型違反で自動ブレークポイントを有効にすることもできます。Trusted Type は、Trusted Type 違反が検出されると、設計上、ランタイム エラーを発生させます。
- 拡張機能のワークフローをテストします。Trusted Types 違反が発生すると、Chrome DevTools デベロッパー コンソールにエラーが表示されます(また、ブレークポイントがヒットした場合も同様です)。
- Chrome デベロッパー ツールを使用してレスポンス ヘッダーをオーバーライドする。そのためには、youtube.com のローカル ヘッダー オーバーライドに以下を追加します。
- 拡張機能のコードに Trusted Types 違反が含まれている場合は、DOM ベースのクロスサイト スクリプティングの脆弱性を防ぐガイドに沿って解決してください。Trusted Types 準拠にするには、問題のコードを削除する、ライブラリを使用する(safevalues や DOMPurify など)、Trusted Types ポリシーを作成するなど、いくつかの方法があります。
また、拡張機能の信頼できる型への準拠に役立つフレームワークとライブラリのリストもご確認ください(古いサードパーティ ライブラリを使用している場合は、更新することをおすすめします)。
シームレスなユーザー エクスペリエンスを実現するには、YouTube でこのセキュリティ機能がリリースされる前に、ブラウザ拡張機能を Trusted Types に準拠させることをおすすめします。コードを Trusted Types に準拠させていないと、DOM の処理がブラウザによってブロックされ、サードパーティ製拡張機能のエラーが発生する可能性があります。