Che cosa cambia
Stiamo migliorando la sicurezza lato client di YouTube con i tipi attendibili. Questo fornirà un ulteriore livello di protezione per le API Document Object Model (DOM) utilizzate da estensioni di terze parti.
Trusted Tipi richiede che le estensioni dei browser di terze parti utilizzino oggetti digitati anziché stringhe durante l'assegnazione di valori alle API DOM. A partire dal 25 luglio 2024, dopo l'applicazione le estensioni del browser che non rispettano i requisiti di sicurezza di Trusted Tipi potrebbero non funzionare più, per cui invitiamo gli sviluppatori corrispondenti a seguire la guida Prevenire le vulnerabilità di cross-site scripting (XSS) basate su DOM per garantire che le estensioni del browser siano compatibili con i nuovi standard di sicurezza di YouTube.
Perché è importante
L'attivazione dei tipi attendibili su YouTube protegge i nostri utenti da una vasta gamma di attacchi cross-site scripting (XSS). Migliora ulteriormente i nostri controlli avanzati di protezione dei dati per mantenere utenti e dati al sicuro su un numero maggiore di estensioni che usano ogni giorno su YouTube.
Che cosa devo fare
Spettatori e creator
Non occorre alcun intervento. Gli utenti che riscontrano problemi possono disattivare temporaneamente le estensioni del browser che causano problemi e informare gli sviluppatori corrispondenti. Se hai problemi con la riproduzione di un video di YouTube, ti consigliamo di aprire YouTube in una finestra di navigazione in incognito con tutte le estensioni disattivate. Per ulteriori passaggi per la risoluzione dei problemi, consulta il nostro articolo del Centro assistenza.
Sviluppatori
- Se la tua estensione modifica il codice HTML e un utente può utilizzarla su youtube.com, ti invitiamo a seguire questa procedura per verificare che le estensioni siano compatibili e funzionino correttamente dopo l'applicazione della funzionalità:
- Esegui l'override delle intestazioni delle risposte con l'aiuto degli Strumenti per sviluppatori di Chrome. A questo scopo, aggiungi quanto segue alle sostituzioni delle intestazioni locali per youtube.com:
Content-Security-Policy: require-trusted-types-for 'script' - Bypassa il service worker di YouTube. Apri gli strumenti per sviluppatori, vai alla scheda Applicazione e seleziona "Service worker" nella sezione Applicazione. Seleziona "Ignora per la rete" nelle impostazioni dei Service worker.
- Come aiuto, puoi attivare i punti di interruzione automatici per violazioni di Trusted Type. I tipi di attendibilità sono stati progettati per causare un errore di runtime se viene rilevata una violazione dei tipi attendibili.
- Testa i flussi di lavoro delle estensioni. Se si verifica una violazione dei tipi attendibili, riceverai un errore nella console per gli sviluppatori di Chrome DevTools (oltre a un hit da punto di interruzione, se l'hai attivato).
- Esegui l'override delle intestazioni delle risposte con l'aiuto degli Strumenti per sviluppatori di Chrome. A questo scopo, aggiungi quanto segue alle sostituzioni delle intestazioni locali per youtube.com:
- Se il codice dell'estensione contiene violazioni relative a Tipi di attendibilità, segui la guida Previeni le vulnerabilità di cross-site scripting (XSS) basate su DOM per risolverle. Esistono diversi modi per assicurare la conformità di Trusted Type, ad esempio per rimuovere il codice in questione, utilizzare una libreria (come safevalues o DOMPurify) o creare un criterio relativo ai tipi attendibili.
Ti consigliamo anche di consultare questo elenco di framework e librerie che potrebbero aiutarti a rendere conforme i tipi di estensione delle estensioni (è possibile che tu stia utilizzando una libreria di terze parti obsoleta che vale la pena aggiornare).
Per garantire agli utenti un'esperienza senza interruzioni, è consigliabile che le estensioni del browser siano rese conformi ai Trusted Tipi prima dell'implementazione della funzionalità di sicurezza su YouTube. La mancata conformità del codice ai tipi attendibili può causare interruzioni delle funzionalità per le estensioni di terze parti, poiché le manipolazioni del DOM verranno bloccate dal browser.