สิ่งที่จะเปลี่ยนแปลง
เรากำลังปรับปรุงความปลอดภัยฝั่งไคลเอ็นต์ของ YouTube ด้วย Trusted Types ซึ่งจะช่วยเพิ่มการปกป้องอีกชั้นสำหรับ Document Object Model (DOM) API ที่ส่วนขยายของบุคคลที่สามใช้
Trusted Types ต้องใช้ส่วนขยายเบราว์เซอร์ของบุคคลที่สามเพื่อใช้ออบเจ็กต์ที่พิมพ์แทนสตริงเมื่อกำหนดค่าให้กับ DOM API ตั้งแต่วันที่ 25 กรกฎาคม 2024 เป็นต้นไป ส่วนขยายเบราว์เซอร์ที่ไม่เป็นไปตามข้อกำหนดด้านความปลอดภัยของ Trusted Types อาจหยุดทำงานหลังการบังคับใช้ เราจึงขอแนะนําให้นักพัฒนาแอปที่เกี่ยวข้องปฏิบัติตามคู่มือป้องกันช่องโหว่ในการเขียนสคริปต์ข้ามเว็บไซต์ตาม DOM เพื่อให้มั่นใจว่าส่วนขยายเบราว์เซอร์จะเข้ากันได้กับมาตรฐานความปลอดภัยใหม่ของ YouTube
ความสำคัญ
การเปิดใช้ Trusted Types ใน YouTube จะปกป้องผู้ใช้จากการโจมตีแบบ Cross-site Scripting (XSS) จำนวนมาก และยังเพิ่มประสิทธิภาพการควบคุมการคุ้มครองข้อมูลขั้นสูงของเราเพื่อให้ผู้ใช้และข้อมูลมีความปลอดภัยมากขึ้นในส่วนขยายอื่นๆ ที่ใช้ทุกวันบน YouTube
ฉันควรทำอย่างไร
ผู้ชมและครีเอเตอร์
ไม่ต้องดำเนินการใดๆ ผู้ใช้ที่พบปัญหาอาจปิดใช้ส่วนขยายของเบราว์เซอร์ที่ทำให้เกิดปัญหาชั่วคราว และแจ้งให้นักพัฒนาแอปที่เกี่ยวข้องทราบ หากคุณมีปัญหาในการเล่นวิดีโอ YouTube เราขอแนะนำให้เปิด YouTube ในหน้าต่างที่ไม่ระบุตัวตนโดยปิดใช้งานส่วนขยายทั้งหมด โปรดดูขั้นตอนการแก้ปัญหาเพิ่มเติมที่หัวข้อบทความในศูนย์ช่วยเหลือ
นักพัฒนาซอฟต์แวร์
- หากส่วนขยายของคุณแก้ไข HTML และผู้ใช้สามารถใช้ส่วนขยายใน youtube.com ได้ เราขอแนะนำให้ทำตามขั้นตอนต่อไปนี้เพื่อตรวจสอบว่าส่วนขยายของคุณใช้งานร่วมกันได้หรือไม่และทำงานอย่างถูกต้องหลังจากการบังคับใช้ฟีเจอร์
- ลบล้างส่วนหัวการตอบกลับโดยใช้เครื่องมือสำหรับนักพัฒนาซอฟต์แวร์ Chrome โดยให้เพิ่มข้อมูลต่อไปนี้ในการลบล้างส่วนหัวในเครื่องสำหรับ youtube.com
Content-Security-Policy: require-trusted-types-for 'script' - ข้าม YouTube Service Worker เปิดเครื่องมือสำหรับนักพัฒนาซอฟต์แวร์ ไปที่แท็บแอปพลิเคชัน แล้วเลือก "โปรแกรมทำงานของบริการ" ในส่วนแอปพลิเคชัน เลือก "การข้ามเครือข่าย" ในการตั้งค่า Service Worker
- คุณอาจช่วยเปิดใช้เบรกพอยท์อัตโนมัติสำหรับการละเมิดประเภท Trusted ได้ ตามการออกแบบ Trusted Types จะทำให้เกิดข้อผิดพลาดรันไทม์หากตรวจพบการละเมิด Trusted Types
- ทดสอบเวิร์กโฟลว์ของส่วนขยาย คุณจะได้รับข้อผิดพลาดในคอนโซลสำหรับนักพัฒนาซอฟต์แวร์ Chrome DevTools หากมีการละเมิดประเภท Trusted เกิดขึ้น (รวมถึงเบรกพอยท์หากคุณเปิดใช้)
- ลบล้างส่วนหัวการตอบกลับโดยใช้เครื่องมือสำหรับนักพัฒนาซอฟต์แวร์ Chrome โดยให้เพิ่มข้อมูลต่อไปนี้ในการลบล้างส่วนหัวในเครื่องสำหรับ youtube.com
- หากโค้ดส่วนขยายมีการละเมิดประเภทที่เชื่อถือได้ ให้ทำตามคู่มือป้องกันช่องโหว่ในการเขียนสคริปต์ข้ามเว็บไซต์ตาม DOM เพื่อแก้ปัญหา คุณสามารถปฏิบัติตามข้อกำหนดของประเภท Trusted ได้หลายวิธี เช่น การนำโค้ดที่ไม่เหมาะสมออก การใช้ไลบรารี (เช่น safevalues หรือ DOMPurify) หรือสร้างนโยบายประเภทที่เชื่อถือได้
คุณอาจต้องตรวจสอบรายการเฟรมเวิร์กและไลบรารีนี้ ซึ่งอาจช่วยให้ส่วนขยายประเภท Trusted เป็นไปตามข้อกำหนด (คุณอาจกำลังใช้ไลบรารีของบุคคลที่สามตัวเก่าที่ควรอัปเดต)
เพื่อให้ผู้ใช้ได้รับประสบการณ์การใช้งานที่ราบรื่น เราขอแนะนำให้ส่วนขยายของเบราว์เซอร์ต้องเป็นไปตามข้อกำหนดของ "ประเภทที่เชื่อถือได้" ก่อนที่จะเปิดตัวฟีเจอร์ความปลอดภัยบน YouTube การไม่ทำให้โค้ดเป็นไปตามข้อกำหนดของประเภท Trusted อาจทำให้ส่วนขยายของบุคคลที่สามเสียหายเกี่ยวกับฟีเจอร์เนื่องจากเบราว์เซอร์จะบล็อกการปรับแต่ง DOM ของส่วนขยายเหล่านั้น