क्या बदलाव हो रहा है
हम भरोसेमंद टाइप की मदद से, YouTube की क्लाइंट-साइड सुरक्षा को और बेहतर बना रहे हैं. इससे तीसरे पक्ष के एक्सटेंशन में इस्तेमाल किए जाने वाले डॉक्यूमेंट ऑब्जेक्ट मॉडल (डीओएम) के एपीआई की सुरक्षा और बढ़ जाएगी.
'भरोसेमंद टाइप' को डीओएम एपीआई को वैल्यू असाइन करते समय, स्ट्रिंग के बजाय टाइप किए गए ऑब्जेक्ट का इस्तेमाल करने के लिए, तीसरे पक्ष के ब्राउज़र एक्सटेंशन की ज़रूरत होती है. नीति उल्लंघन ठीक करने के तरीके (एनफ़ोर्समेंट) के बाद, भरोसेमंद टाइप की सुरक्षा से जुड़ी ज़रूरी शर्तों का पालन न करने वाले ब्राउज़र एक्सटेंशन 25 जुलाई, 2024 से काम करना बंद कर सकते हैं. इसलिए, हम चाहते हैं कि डेवलपर, डीओएम पर आधारित क्रॉस-साइट स्क्रिप्टिंग के जोखिम से बचें गाइड का पालन करें. इससे यह पक्का किया जा सकेगा कि ब्राउज़र एक्सटेंशन, YouTube के नए सुरक्षा मानकों के साथ काम कर सकते हैं.
यह क्यों ज़रूरी है
YouTube पर भरोसेमंद टाइप की सुविधा चालू करने से, हमारे उपयोगकर्ताओं को कई तरह के क्रॉस-साइट स्क्रिप्टिंग (XSS) हमलों से सुरक्षित रखा जा सकता है. इस मोड में, डेटा की सुरक्षा से जुड़े बेहतर कंट्रोल को और बेहतर बनाया जाता है. इससे YouTube पर हर दिन इस्तेमाल किए जाने वाले अलग-अलग एक्सटेंशन पर, लोगों के डेटा और उनके डेटा को सुरक्षित रखा जाता है.
मुझे क्या करना चाहिए
दर्शक और क्रिएटर
कुछ करने की ज़रूरत नहीं है. जिन उपयोगकर्ताओं को समस्याएं आ रही हैं वे कुछ समय के लिए ऐसे ब्राउज़र एक्सटेंशन बंद कर सकते हैं जो समस्याएं पैदा करते हैं. साथ ही, वे इससे जुड़े डेवलपर को सूचना भेज सकते हैं. अगर आपको YouTube वीडियो चलाने में समस्याएं आ रही हैं, तो हमारा सुझाव है कि YouTube को ऐसी गुप्त विंडो में खोलें जिसमें सभी एक्सटेंशन बंद हों. समस्या हल करने के ज़्यादा चरणों के बारे में जानने के लिए, हमारे सहायता केंद्र का लेख पढ़ें.
डेवलपर
- अगर आपका एक्सटेंशन एचटीएमएल में बदलाव करता है और कोई उपयोगकर्ता इसे youtube.com पर इस्तेमाल कर सकता है, तो हमारा सुझाव है कि आप यह तरीका अपनाकर देखें कि आपके एक्सटेंशन काम करते हैं या नहीं और सुविधा लागू होने के बाद ठीक से काम करेंगे या नहीं:
- Chrome डेवलपर टूल की मदद से, रिस्पॉन्स हेडर को बदलें. ऐसा करने के लिए, youtube.com के लिए स्थानीय हेडर में यह जानकारी जोड़ें:
Content-Security-Policy: require-trusted-types-for 'script' - YouTube सर्विस वर्कर को बायपास करें. डेवलपर टूल खोलें, ऐप्लिकेशन टैब पर नेविगेट करें और ऐप्लिकेशन सेक्शन में "सर्विस वर्कर" चुनें. सर्विस वर्कर सेटिंग में, "नेटवर्क के लिए बायपास करें" को चुनें.
- मदद के तौर पर, भरोसेमंद टाइप के उल्लंघनों के लिए अपने-आप ब्रेकपॉइंट की सुविधा चालू की जा सकती है. 'भरोसेमंद टाइप' के डिज़ाइन के हिसाब से, अगर 'भरोसेमंद टाइप' के उल्लंघन का पता चलता है, तो रनटाइम के दौरान गड़बड़ी हो सकती है.
- अपने एक्सटेंशन वर्कफ़्लो की जांच करें. अगर भरोसेमंद टाइप का उल्लंघन होता है, तो आपको Chrome DevTools डेवलपर कंसोल में गड़बड़ी मिलेगी (साथ ही, अगर आपने ब्रेकपॉइंट हिट चालू किया है, तो आपको गड़बड़ी का मैसेज भी मिलेगा).
- Chrome डेवलपर टूल की मदद से, रिस्पॉन्स हेडर को बदलें. ऐसा करने के लिए, youtube.com के लिए स्थानीय हेडर में यह जानकारी जोड़ें:
- अगर आपके एक्सटेंशन कोड में 'भरोसेमंद टाइप' से जुड़े उल्लंघन शामिल हैं, तो इन्हें ठीक करने के लिए, डीओएम-आधारित क्रॉस-साइट स्क्रिप्टिंग से जुड़े जोखिमों को रोकें गाइड का पालन करें. भरोसेमंद टाइप के हिसाब से काम करने के कई तरीके हैं, जैसे कि आपत्तिजनक कोड को हटाना, लाइब्रेरी (जैसे कि safevalues या DOMPurify) का इस्तेमाल करके या भरोसेमंद टाइप के लिए नीति बनाना.
आप चाहें, तो फ़्रेम और लाइब्रेरी की इस सूची को भी देख लें. इससे आपके एक्सटेंशन को भरोसेमंद टाइप के मुताबिक बनाने में मदद मिल सकती है. ऐसा हो सकता है कि तीसरे पक्ष की किसी पुरानी लाइब्रेरी का इस्तेमाल किया जा रहा हो और उसे अपडेट किया जा सकता हो.
उपयोगकर्ताओं को बेहतरीन अनुभव देने के लिए, यह सुझाव दिया जाता है कि YouTube पर सुरक्षा की सुविधा शुरू करने से पहले, ब्राउज़र एक्सटेंशन को भरोसेमंद टाइप के हिसाब से बना लें. भरोसेमंद टाइप के कोड को नियमों का पालन न करने पर, तीसरे पक्ष के एक्सटेंशन में यह सुविधा काम करना बंद कर सकती है. ऐसा इसलिए, क्योंकि उनके डीओएम हेर-फेर को ब्राउज़र ब्लॉक कर देगा.