این صفحه به‌وسیله ‏Cloud Translation API‏ ترجمه شده است.

افزودن انواع مورد اعتماد به YouTube

Patrick Kettner

چه چیزی در حال تغییر است

ما در حال بهبود امنیت سمت سرویس گیرنده YouTube با Trusted Types هستیم. این یک لایه حفاظتی اضافی در اطراف APIهای Document Object Model (DOM) که توسط برنامه‌های افزودنی شخص ثالث استفاده می‌شود، فراهم می‌کند.

Trusted Types به برنامه‌های افزودنی مرورگر شخص ثالث نیاز دارد تا هنگام تخصیص مقادیر به APIهای DOM ، از اشیاء تایپ‌شده به جای رشته‌ها استفاده کنند. از ۲۵ ژوئیه ۲۰۲۴، برنامه‌های افزودنی مرورگری که با الزامات امنیتی Trusted Types مطابقت ندارند، ممکن است پس از اجرا از کار بیفتند، بنابراین از توسعه‌دهندگان مربوطه می‌خواهیم برای اطمینان از سازگاری افزونه‌های مرورگر با جدید، از راهنمای آسیب‌پذیری‌های برنامه‌نویسی متقابل مبتنی بر DOM پیروی کنند. استانداردهای امنیتی یوتیوب

چرا مهم است

فعال کردن Trusted Types در YouTube از کاربران ما در برابر مجموعه وسیعی از حملات اسکریپت بین سایتی (XSS) محافظت می کند. کنترل‌های پیشرفته حفاظت از داده ما را بیشتر می‌کند تا کاربران و داده‌ها را در بیشتر برنامه‌های افزودنی که هر روز در YouTube استفاده می‌کنند، ایمن نگه دارد.

باید چکار کنم

بینندگان و سازندگان

هیچ اقدامی لازم نیست کاربرانی که مشکلاتی را تجربه می کنند ممکن است به طور موقت افزونه های مرورگر را که باعث مشکل می شوند غیرفعال کنند و به توسعه دهندگان مربوطه اطلاع دهند . اگر در پخش یک ویدیوی YouTube مشکل دارید، توصیه می‌کنیم YouTube را در یک پنجره ناشناس با غیرفعال بودن همه برنامه‌های افزودنی باز کنید. برای مراحل عیب‌یابی بیشتر، به مقاله مرکز راهنمایی ما مراجعه کنید.

توسعه دهندگان

اگر برنامه افزودنی شما HTML را تغییر می‌دهد و کاربر می‌تواند از آن در youtube.com استفاده کند، ما به شما توصیه می‌کنیم این مراحل را دنبال کنید تا بررسی کنید که آیا برنامه‌های افزودنی شما سازگار هستند و بعد از اجرای ویژگی به درستی عمل می‌کنند:
- با کمک ابزارهای برنامه‌نویس Chrome، سرصفحه‌های پاسخ را لغو کنید . برای انجام این کار، موارد زیر را به لغو سرصفحه محلی youtube.com اضافه کنید:
  Content-Security-Policy: require-trusted-types-for 'script'
- دور زدن کارگر سرویس YouTube ابزارهای توسعه دهنده را باز کنید، به برگه Application بروید و "Service Workers" را در بخش Application انتخاب کنید. "Bypass for network" را در تنظیمات Service Workers علامت بزنید.
- به عنوان یک کمک کمکی، می‌توانید نقاط شکست خودکار را در موارد نقض Trusted Type فعال کنید . با طراحی Trusted Types در صورت شناسایی تخلف Trusted Types باعث خطای زمان اجرا می شود.
- گردش کار برنامه افزودنی خود را آزمایش کنید. اگر نقض Trusted Types رخ دهد، در کنسول توسعه‌دهنده Chrome DevTools خطایی دریافت می‌کنید (و همچنین اگر آن را فعال کرده باشید، یک ضربه نقطه انفصال وجود دارد).
اگر کد برنامه افزودنی شما حاوی موارد نقض Trusted Types است، برای رفع آنها، راهنمای آسیب‌پذیری‌های اسکریپت‌نویسی متقابل مبتنی بر DOM را پیشگیری کنید . روش‌های مختلفی برای سازگاری با Trusted Types وجود دارد، مانند حذف کد متخلف، استفاده از کتابخانه (مانند مقادیر امن یا DOMPurify )، یا ایجاد خط‌مشی Trusted Types .

همچنین ممکن است بخواهید این فهرست از چارچوب‌ها و کتابخانه‌هایی را که می‌توانند به سازگاری برنامه‌های افزودنی Trusted Types کمک کنند، بررسی کنید (ممکن است از یک کتابخانه شخص ثالث قدیمی استفاده کنید که ارزش به‌روزرسانی را دارد).

برای اطمینان از تجربه یکپارچه برای کاربران، توصیه می‌شود که برنامه‌های افزودنی مرورگر قبل از اینکه ویژگی امنیتی در YouTube منتشر شود، مطابق با Trusted Types باشند. عدم تطابق کد Trusted Types ممکن است باعث خرابی ویژگی برنامه‌های افزودنی شخص ثالث شود زیرا دستکاری‌های DOM آنها توسط مرورگر مسدود می‌شود.