क्या बदल रहा है
हम भरोसेमंद टाइप की मदद से, YouTube की क्लाइंट-साइड सुरक्षा को बेहतर बना रहे हैं. इससे, तीसरे पक्ष के एक्सटेंशन के इस्तेमाल किए जाने वाले डॉक्यूमेंट ऑब्जेक्ट मॉडल (DOM) एपीआई को ज़्यादा सुरक्षित किया जा सकेगा.
भरोसेमंद टाइप के लिए, तीसरे पक्ष के ब्राउज़र एक्सटेंशन को DOM API को वैल्यू असाइन करते समय, स्ट्रिंग के बजाय टाइप किए गए ऑब्जेक्ट का इस्तेमाल करना होगा. 25 जुलाई, 2024 से, भरोसेमंद ब्राउज़र एक्सटेंशन की सुरक्षा से जुड़ी ज़रूरी शर्तों का पालन न करने वाले ब्राउज़र एक्सटेंशन काम करना बंद कर सकते हैं. इसलिए, हमारा सुझाव है कि इन एक्सटेंशन के डेवलपर, डीओएम (डोमेन ऑब्जेक्ट मॉडल) पर आधारित क्रॉस-साइट स्क्रिप्टिंग की कमजोरियों को रोकने के लिए बनी गाइड का पालन करें. इससे यह पक्का किया जा सकेगा कि ब्राउज़र एक्सटेंशन, YouTube के नए सुरक्षा मानकों के मुताबिक हों.
यह ज़रूरी क्यों है
YouTube पर भरोसेमंद टाइप की सुविधा चालू करने से, हमारे उपयोगकर्ताओं को क्रॉस-साइट स्क्रिप्टिंग (XSS) के कई हमलों से बचाया जा सकेगा. इससे, डेटा की सुरक्षा से जुड़े हमारे बेहतर कंट्रोल को और बेहतर बनाया जा सकेगा. इससे, YouTube पर हर दिन इस्तेमाल किए जाने वाले ज़्यादा एक्सटेंशन पर उपयोगकर्ताओं और उनके डेटा को सुरक्षित रखा जा सकेगा.
मुझे क्या करना चाहिए
दर्शक और क्रिएटर्स
कुछ करने की ज़रूरत नहीं है. जिन उपयोगकर्ताओं को समस्याएं आ रही हैं वे ब्राउज़र के उन एक्सटेंशन को कुछ समय के लिए बंद कर सकते हैं जिनकी वजह से समस्याएं आ रही हैं. साथ ही, उनसे जुड़े डेवलपर को इसकी सूचना दे सकते हैं. अगर आपको YouTube वीडियो चलाने में समस्या आ रही है, तो हमारा सुझाव है कि एक गुप्त विंडो में YouTube खोलें, जिसमें सभी एक्सटेंशन बंद हों. समस्या हल करने के अन्य तरीकों के बारे में जानने के लिए, हमारे सहायता केंद्र का लेख देखें.
डेवलपर
- अगर आपका एक्सटेंशन एचटीएमएल में बदलाव करता है और कोई उपयोगकर्ता इसे youtube.com पर इस्तेमाल कर सकता है, तो हमारा सुझाव है कि आप यह तरीका अपनाकर देखें कि आपके एक्सटेंशन काम करते हैं या नहीं. साथ ही, यह भी देखें कि सुविधा लागू होने के बाद, ये एक्सटेंशन सही तरीके से काम करेंगे या नहीं:
- Chrome डेवलपर टूल की मदद से, रिस्पॉन्स हेडर बदलना. ऐसा करने के लिए, youtube.com के लिए लोकल हेडर में ये चीज़ें जोड़ें:
Content-Security-Policy: require-trusted-types-for 'script' - YouTube Service worker को बायपास करें. डेवलपर टूल खोलें. इसके बाद, ऐप्लिकेशन टैब पर जाएं और ऐप्लिकेशन सेक्शन में "सेवा वर्कर" चुनें. सेवा वर्कर की सेटिंग में, "नेटवर्क के लिए बायपास करें" को चुनें.
- मदद के तौर पर, भरोसेमंद टाइप के उल्लंघनों पर अपने-आप ब्रेकपॉइंट चालू किए जा सकते हैं. डिज़ाइन के हिसाब से, Trusted Types के उल्लंघन का पता चलने पर, रनटाइम की गड़बड़ी होगी.
- अपने एक्सटेंशन वर्कफ़्लो की जांच करें. अगर भरोसेमंद टाइप का उल्लंघन होता है, तो आपको Chrome DevTools डेवलपर कंसोल में गड़बड़ी का मैसेज दिखेगा. साथ ही, अगर आपने ब्रेकपॉइंट चालू किया है, तो आपको ब्रेकपॉइंट हिट का मैसेज भी दिखेगा.
- Chrome डेवलपर टूल की मदद से, रिस्पॉन्स हेडर बदलना. ऐसा करने के लिए, youtube.com के लिए लोकल हेडर में ये चीज़ें जोड़ें:
- अगर आपके एक्सटेंशन कोड में, भरोसेमंद टाइप से जुड़े उल्लंघन हैं, तो उन्हें ठीक करने के लिए डीओएम पर आधारित क्रॉस-साइट स्क्रिप्टिंग से जुड़ी सुरक्षा से जुड़ी समस्याओं को रोकने के लिए बनी गाइड का पालन करें. भरोसेमंद टाइप के साथ काम करने के कई तरीके हैं. जैसे, गलत कोड हटाना, safevalues या DOMPurify जैसी लाइब्रेरी का इस्तेमाल करना या भरोसेमंद टाइप की नीति बनाना.
आपके पास फ़्रेमवर्क और लाइब्रेरी की यह सूची देखने का विकल्प भी है. इससे, आपको अपने एक्सटेंशन को भरोसेमंद टाइप के मुताबिक बनाने में मदद मिल सकती है. ऐसा हो सकता है कि आपने तीसरे पक्ष की किसी पुरानी लाइब्रेरी का इस्तेमाल किया हो, जिसे अपडेट करना ज़रूरी है.
हमारा सुझाव है कि YouTube पर सुरक्षा सुविधा लॉन्च करने से पहले, ब्राउज़र एक्सटेंशन को भरोसेमंद टाइप के मुताबिक बनाएं, ताकि उपयोगकर्ताओं को बेहतर अनुभव मिल सके. कोड को भरोसेमंद टाइप के मुताबिक न बनाने पर, तीसरे पक्ष के एक्सटेंशन की सुविधाएं काम नहीं कर सकतीं. इसकी वजह यह है कि ब्राउज़र, उनके डीओएम में बदलाव करने की अनुमति नहीं देगा.