Qué cambiará
Mejoraremos la seguridad de los clientes de YouTube con Trusted Types. Esto proporcionará una capa de protección adicional para las APIs de Modelo de objetos del documento (DOM) que usan las extensiones de terceros.
Trusted Types requiere que las extensiones de navegador de terceros usen objetos escritos en lugar de cadenas cuando se asignan valores a las APIs de DOM. A partir del 25 de julio de 2024, es posible que las extensiones de navegador que no cumplan con los requisitos de seguridad de los tipos de confianza dejen de funcionar después de la aplicación forzosa. Por lo tanto, recomendamos a los desarrolladores correspondientes que sigan la guía Cómo evitar vulnerabilidades de secuencias de comandos entre sitios basadas en DOM para garantizar que las extensiones de navegador sean compatibles con los nuevos estándares de seguridad de YouTube.
Por qué es importante
Si habilitas Trusted Types en YouTube, protegerás a nuestros usuarios contra un amplio conjunto de ataques de secuencias de comandos entre sitios (XSS). Además, mejora aún más nuestros controles de protección de datos avanzada para mantener seguros a los usuarios y los datos en más de las extensiones que usan a diario en YouTube.
¿Qué debo hacer?
Usuarios y creadores
No se requiere ninguna acción. Los usuarios que tengan problemas pueden inhabilitar temporalmente las extensiones del navegador que causen problemas y informar a los desarrolladores correspondientes. Si tienes problemas para reproducir un video de YouTube, te recomendamos que lo abras en una ventana de incógnito con todas las extensiones inhabilitadas. Para obtener más pasos para solucionar problemas, consulta nuestro artículo del Centro de ayuda.
Desarrolladores
- Si tu extensión modifica el código HTML y un usuario puede usarla en youtube.com, te recomendamos que sigas estos pasos para verificar si tus extensiones son compatibles y funcionarán correctamente después de la aplicación forzosa de las funciones:
- Anula los encabezados de respuesta con la ayuda de las herramientas para desarrolladores de Chrome. Para ello, agrega lo siguiente a las anulaciones de encabezados locales de youtube.com:
Content-Security-Policy: require-trusted-types-for 'script' - Omite el trabajador de servicio de YouTube. Abre las herramientas para desarrolladores, navega a la pestaña Application y selecciona "Service workers" en la sección Application. Marca "Omitir para la red" en la configuración de los trabajadores del servicio.
- Como ayuda, puedes habilitar puntos de interrupción automáticos en los incumplimientos de tipo de confianza. De forma predeterminada, los Tipos de confianza provocarán un error de tiempo de ejecución si se detecta un incumplimiento de Tipos de confianza.
- Prueba los flujos de trabajo de tu extensión. Recibirás un error en la consola de desarrollador de Herramientas para desarrolladores de Chrome si se produce una infracción de Trusted Types (así como un hit de punto de interrupción si lo habilitaste).
- Anula los encabezados de respuesta con la ayuda de las herramientas para desarrolladores de Chrome. Para ello, agrega lo siguiente a las anulaciones de encabezados locales de youtube.com:
- Si el código de tu extensión contiene incumplimientos de Trusted Types, sigue la guía Cómo evitar vulnerabilidades de secuencias de comandos entre sitios basadas en DOM para resolverlos. Existen varias formas de cumplir con Trusted Types, como quitar el código infractor,usar una biblioteca (por ejemplo, safevalues o DOMPurify) o crear una política de Trusted Types.
También te recomendamos que consultes esta lista de frameworks y bibliotecas que podrían ayudarte a que tu extensión cumpla con los Tipos de confianza (es posible que estés usando una biblioteca de terceros antigua que vale la pena actualizar).
Para garantizar una experiencia fluida para los usuarios, se recomienda que las extensiones de navegador cumplan con Trusted Types antes de que se lance la función de seguridad en YouTube. Si el código no cumple con Trusted Types, es posible que se produzcan fallas en las funciones de las extensiones de terceros, ya que el navegador bloqueará sus manipulaciones del DOM.