Patrick Kettner
異動內容
我們透過「信任類型」提升 YouTube 用戶端的安全性。這項措施可為第三方擴充功能使用的文件物件模型 (DOM) API 提供多一層保護。
可信類型要求第三方瀏覽器擴充功能在指派值給 DOM API 時,使用類型物件而不是字串。自 2024 年 7 月 25 日起,不符合信任類型安全性規定的瀏覽器擴充功能可能會在政策執行後停止運作,因此建議對應開發人員遵循「防範以 DOM 為基礎的跨網站指令碼漏洞」指南,確保瀏覽器擴充功能符合新的 YouTube 安全性標準。
重要性
在 YouTube 啟用 Trusted Types 技術,可避免使用者遭受大量的跨網站指令碼攻擊 (XSS) 攻擊。還能進一步強化進階資料保護控制項,保障更多使用者每天使用的 YouTube 擴充功能,確保使用者和資料安全無虞。
我該怎麼做
觀眾和創作者
您無須採取行動,遇到問題的使用者可能會暫時停用瀏覽器擴充功能,導致問題發生,並通知對應的開發人員。如果無法順利播放 YouTube 影片,建議您停用所有擴充功能,透過無痕式視窗開啟 YouTube。如需其他疑難排解步驟,請參閱說明中心文章。
開發人員
- 如果你的擴充功能修改了 HTML,而使用者可在 youtube.com 上使用,建議你按照下列步驟操作,檢查擴充功能是否相容,並在功能強制執行後正常運作:
- 使用 Chrome 開發人員工具覆寫回應標頭。方法是將下列內容加入 youtube.com 的本機標頭覆寫內容:
Content-Security-Policy: require-trusted-types-for 'script' - 略過 YouTube Service Worker。開啟開發人員工具,前往「應用程式」分頁,然後選取「應用程式」專區中的 [Service Worker]。勾選 Service Worker 設定中的「略過網路」。
- 您可以在違反「信任類型」政策時啟用自動中斷點,做為輔助。如果偵測到違反 Trusted Types 的情況,設計可信類型就會導致執行階段錯誤。
- 測試擴充功能工作流程。如果發生 Trusted Types 違規問題,Chrome 開發人員工具開發人員控制台中就會顯示錯誤訊息 (如果已啟用中斷點命中也會發生)。
- 使用 Chrome 開發人員工具覆寫回應標頭。方法是將下列內容加入 youtube.com 的本機標頭覆寫內容:
- 如果擴充功能程式碼含有違反 Trusted Types 的情況,請參閱「防止 DOM 型跨網站指令碼漏洞」指南來解決這個問題。規範可信任類型的方法很多,例如移除違規程式碼、使用程式庫 (例如 safevalues 或 DOMPurify) 或建立信任類型政策。
我們也建議您查看這份架構和程式庫清單,讓擴充功能的 Trusted Type 符合規定 (可能使用了舊的第三方程式庫,值得更新)。
為了提供使用者流暢的使用體驗,在 YouTube 即將推出安全性功能之前,建議您先建立符合信任類型規範的瀏覽器擴充功能。否則,瀏覽器會封鎖這類擴充功能的 DOM 操作,因此如果程式碼不符合受信任類型規範,可能會導致第三方擴充功能無法正常運作。