Nội dung thay đổi
Chúng tôi đang cải thiện khả năng bảo mật phía máy khách của YouTube bằng Các loại đáng tin cậy. Thao tác này sẽ cung cấp thêm một lớp bảo vệ xung quanh API Mô hình đối tượng tài liệu (DOM) mà các tiện ích của bên thứ ba sử dụng.
Loại đáng tin cậy yêu cầu tiện ích trình duyệt của bên thứ ba sử dụng đối tượng đã nhập thay vì chuỗi khi chỉ định giá trị cho API DOM. Kể từ ngày 25 tháng 7 năm 2024, những tiện ích của trình duyệt không tuân thủ các yêu cầu về bảo mật của Loại đáng tin cậy có thể ngừng hoạt động sau khi thực thi. Vì vậy, các nhà phát triển tương ứng nên làm theo hướng dẫn Ngăn chặn lỗ hổng bảo mật tập lệnh trên nhiều trang web dựa trên DOM để đảm bảo tiện ích của trình duyệt tương thích với các tiêu chuẩn bảo mật mới của YouTube.
Tại sao điều này quan trọng
Việc bật các Loại đáng tin cậy trên YouTube sẽ bảo vệ người dùng khỏi một loạt các cuộc tấn công tập lệnh trên nhiều trang web (XSS). Dự án này tăng cường hơn nữa các chế độ kiểm soát nâng cao để bảo vệ dữ liệu nhằm bảo vệ người dùng và dữ liệu trên nhiều tiện ích mà họ sử dụng hằng ngày trên YouTube.
Tôi nên làm gì
Người xem và nhà sáng tạo
Bạn không phải làm gì. Người dùng gặp phải vấn đề có thể tạm thời tắt các tiện ích của trình duyệt có gây ra vấn đề và thông báo cho các nhà phát triển tương ứng. Nếu gặp sự cố khi phát video trên YouTube, bạn nên mở YouTube trong một cửa sổ ẩn danh đã tắt tất cả các tiện ích. Để biết thêm các bước khắc phục sự cố, hãy xem bài viết của chúng tôi trên Trung tâm trợ giúp.
Nhà phát triển
- Nếu tiện ích của bạn sửa đổi HTML và người dùng có thể sử dụng tiện ích đó trên youtube.com, thì bạn nên làm theo các bước sau để kiểm tra xem tiện ích của bạn có tương thích và hoạt động đúng cách sau khi chúng tôi thực thi tính năng hay không:
- Ghi đè tiêu đề phản hồi với sự trợ giúp của Công cụ cho nhà phát triển Chrome. Để thực hiện việc này, hãy thêm nội dung sau đây vào phần ghi đè tiêu đề cục bộ cho youtube.com:
Content-Security-Policy: require-trusted-types-for 'script' - Bỏ qua Trình chạy dịch vụ YouTube. Mở công cụ cho nhà phát triển, chuyển đến thẻ Application (Ứng dụng) và chọn "Service worker" (Trình chạy dịch vụ) trong phần Application (Ứng dụng). Chọn "Bỏ qua cho mạng" trong phần cài đặt Service worker.
- Để hỗ trợ bạn, bạn có thể bật các điểm ngắt tự động trên các trường hợp vi phạm Loại đáng tin cậy. Theo thiết kế, các Loại đáng tin cậy sẽ gây ra lỗi thời gian chạy nếu phát hiện thấy lỗi vi phạm các Loại đáng tin cậy.
- Kiểm thử quy trình công việc của tiện ích. Bạn sẽ gặp lỗi trong Bảng điều khiển dành cho nhà phát triển Công cụ của Chrome cho nhà phát triển nếu xảy ra lỗi vi phạm Loại đáng tin cậy (cũng như lượt truy cập điểm ngắt nếu bạn đã bật lỗi vi phạm).
- Ghi đè tiêu đề phản hồi với sự trợ giúp của Công cụ cho nhà phát triển Chrome. Để thực hiện việc này, hãy thêm nội dung sau đây vào phần ghi đè tiêu đề cục bộ cho youtube.com:
- Nếu mã tiện ích của bạn vi phạm các Loại đáng tin cậy, hãy làm theo hướng dẫn Ngăn chặn lỗ hổng bảo mật tập lệnh trên nhiều trang web dựa trên DOM để giải quyết các lỗi vi phạm. Có một số cách để tuân thủ các Loại đáng tin cậy, chẳng hạn như xoá mã vi phạm, dùng thư viện (chẳng hạn như safevalues hoặc DOMPurify) hoặc tạo chính sách về Loại đáng tin cậy.
Bạn cũng nên kiểm tra danh sách khung và thư viện này để giúp tiện ích của bạn tuân thủ các Loại hình đáng tin cậy (có thể bạn đang dùng một thư viện cũ của bên thứ ba đáng cập nhật).
Để đảm bảo người dùng có trải nghiệm liền mạch, trước khi triển khai tính năng bảo mật này trên YouTube, bạn nên thiết lập các tiện ích của trình duyệt để tuân thủ Loại hình đáng tin cậy. Việc không làm cho mã tuân thủ Loại đáng tin cậy có thể gây ra lỗi tính năng cho các tiện ích của bên thứ ba vì các thao tác DOM của các tiện ích đó sẽ bị trình duyệt chặn.