Che cosa cambia
Stiamo migliorando la sicurezza lato client di YouTube con i tipi attendibili. In questo modo verrà fornito un ulteriore livello di protezione per le API Document Object Model (DOM) utilizzate dalle estensioni di terze parti.
Trusted Types richiede che le estensioni del browser di terze parti utilizzino oggetti con tipi anziché stringhe per l'assegnazione di valori alle API DOM. A partire dal 25 luglio 2024, le estensioni del browser non conformi ai requisiti di sicurezza dei tipi attendibili potrebbero non funzionare più dopo l'applicazione delle norme. Pertanto, invitiamo gli sviluppatori corrispondenti a seguire la guida Prevenire le vulnerabilità di cross-site scripting basate su DOM per assicurarsi che le estensioni del browser siano compatibili con i nuovi standard di sicurezza di YouTube.
Perché è importante
L'attivazione dei tipi attendibili su YouTube proteggerà i nostri utenti da una vasta gamma di attacchi di cross-site scripting (XSS). Migliora ulteriormente i nostri controlli avanzati per la protezione dei dati per proteggere gli utenti e i dati in un numero maggiore di estensioni che usano ogni giorno su YouTube.
Che cosa devo fare
Spettatori e creator
Non occorre alcun intervento. Gli utenti che riscontrano problemi possono disattivare temporaneamente le estensioni del browser che causano problemi e informare gli sviluppatori corrispondenti. Se riscontri problemi con la riproduzione di un video di YouTube, ti consigliamo di aprire YouTube in una finestra di navigazione in incognito con tutte le estensioni disattivate. Per ulteriori passaggi per la risoluzione dei problemi, consulta il nostro articolo del Centro assistenza.
Sviluppatori
- Se la tua estensione modifica il codice HTML e un utente potrebbe utilizzarla su youtube.com, ti invitiamo a seguire questi passaggi per verificare se le tue estensioni sono compatibili e funzioneranno correttamente dopo l'applicazione della funzionalità:
- Esegui l'override delle intestazioni di risposta con l'aiuto degli Strumenti per sviluppatori di Chrome. Per farlo, aggiungi quanto segue alle sostituzioni delle intestazioni locali per youtube.com:
Content-Security-Policy: require-trusted-types-for 'script' - Ignora il service worker di YouTube. Apri gli Strumenti per sviluppatori, vai alla scheda Applicazione e seleziona "Service worker" nella sezione Applicazione. Seleziona "Ignora per la rete" nelle impostazioni dei worker di servizio.
- Come aiuto, puoi attivare i punti di interruzione automatici per le violazioni del tipo attendibile. Per impostazione predefinita, Trusted Types causerà un errore di runtime se viene rilevata una violazione di Trusted Types.
- Testa i workflow delle estensioni. Se si verifica una violazione dei tipi attendibili, nella Console per sviluppatori di Chrome DevTools viene visualizzato un errore (oltre a un hit del breakpoint, se lo hai attivato).
- Esegui l'override delle intestazioni di risposta con l'aiuto degli Strumenti per sviluppatori di Chrome. Per farlo, aggiungi quanto segue alle sostituzioni delle intestazioni locali per youtube.com:
- Se il codice dell'estensione contiene violazioni di tipi attendibili, segui la guida Prevenire le vulnerabilità di cross-site scripting basate su DOM per risolverle. Esistono diversi modi per essere conformi a Trusted Types, ad esempio rimuovendo il codice in violazione, utilizzando una libreria (come safevalues o DOMPurify) o creando un regolamento Trusted Types.
Ti consigliamo inoltre di consultare questo elenco di framework e librerie che potrebbero aiutarti a rendere la tua estensione conforme ai tipi attendibili (potresti utilizzare una vecchia libreria di terze parti che vale la pena aggiornare).
Per garantire un'esperienza senza interruzioni agli utenti, ti consigliamo di rendere le estensioni del browser conformi ai tipi attendibili prima dell'implementazione della funzionalità di sicurezza su YouTube. Il mancato rispetto della conformità ai tipi attendibili del codice potrebbe causare interruzioni delle funzionalità per le estensioni di terze parti, poiché le loro manipolazioni DOM verranno bloccate dal browser.