Co się zmienia
Ulepszamy bezpieczeństwo po stronie klienta w YouTube dzięki zaufanym typom. Zapewni to dodatkową warstwę ochrony interfejsów API Document Object Model (DOM) używanych przez rozszerzenia innych firm.
Zaufane typy wymagają, aby rozszerzenia przeglądarki innych firm przy przypisywaniu wartości do interfejsów DOM API używały typowanych obiektów zamiast ciągów tekstowych. Od 25 lipca 2024 r. rozszerzenia przeglądarki, które nie spełniają wymagań bezpieczeństwa związanych z zaufanymi typami, mogą przestać działać. Zachęcamy deweloperów do zapoznania się z poniższym przewodnikiem Zapobieganie podatnościom na ataki oparte na skryptach w ramach witryn, aby zapewnić zgodność rozszerzeń przeglądarki z nowymi standardami bezpieczeństwa YouTube.
Dlaczego to ważne
Włączenie zaufanych typów w YouTube ochroni naszych użytkowników przed wieloma atakami typu cross-site scripting (XSS). Wprowadziliśmy też dodatkowe zaawansowane opcje ochrony danych, aby zapewnić bezpieczeństwo użytkowników i ich danych w większej liczbie rozszerzeń, z których korzystają codziennie w YouTube.
Co mam zrobić
Widzowie i twórcy
Nie musisz nic robić. Użytkownicy, którzy napotkają problemy, mogą tymczasowo wyłączyć rozszerzenia przeglądarki, które je powodują, i poinformować odpowiednich deweloperów. Jeśli masz problemy z odtwarzaniem filmu w YouTube, zalecamy otworzyć YouTube w oknie incognito, w którym wszystkie rozszerzenia są wyłączone. Więcej informacji o rozwiązywaniu problemów znajdziesz w tym artykule w Centrum pomocy.
Programiści
- Jeśli Twoje rozszerzenie modyfikuje kod HTML i użytkownik może z niego korzystać na stronie youtube.com, wykonaj te czynności, aby sprawdzić, czy rozszerzenia są zgodne i czy będą działać prawidłowo po wprowadzeniu funkcji:
- Zastępowanie nagłówków odpowiedzi za pomocą Narzędzi deweloperskich w Chrome Aby to zrobić, dodaj te informacje do lokalnych zastąpień nagłówka na stronie youtube.com:
Content-Security-Policy: require-trusted-types-for 'script' - Omiń usługę wątek YouTube. Otwórz narzędzia dla programistów, przejdź na kartę Aplikacja i w sekcji Aplikacja wybierz „Workery usługi”. W ustawieniach usług dla robotów zaznacz pole „Omijaj sieć”.
- Aby Ci pomóc, włącz automatyczne punkty przerwy w przypadku naruszeń związanych z zaufanym typem. Zaufane typy z założenia powodują błąd w czasie wykonywania, jeśli zostanie wykryte naruszenie dotyczące zaufanych typów.
- Testowanie przepływów pracy dotyczących rozszerzeń. Jeśli wystąpi naruszenie zasad zaufanych typów, w konsoli deweloperskiej Narzędzi deweloperskich w Chrome pojawi się błąd (a także punkt przerwania, jeśli został włączony).
- Zastępowanie nagłówków odpowiedzi za pomocą Narzędzi deweloperskich w Chrome Aby to zrobić, dodaj te informacje do lokalnych zastąpień nagłówka na stronie youtube.com:
- Jeśli kod rozszerzenia zawiera naruszenia zasad dotyczących zaufanych typów, rozwiąż je, korzystając z instrukcji Zapobieganie podatnościom na ataki typu cross-site scripting w DOM. Istnieje kilka sposobów na zapewnienie zgodności z Trusted Types, np. usunięcie kodu,który powoduje naruszenie, użycie biblioteki (np. safevalues lub DOMPurify) albo utworzenie zasad Trusted Types.
Warto też sprawdzić listę frameworków i bibliotek, które mogą pomóc w zapewnieniu zgodności rozszerzenia z Trusted Types (być może używasz starej biblioteki innej firmy, którą warto zaktualizować).
Aby zapewnić użytkownikom płynne działanie, zalecamy, aby rozszerzenia przeglądarki były zgodne z typami zaufanych aplikacji, zanim wdrożysz tę funkcję bezpieczeństwa w YouTube. Niespełnienie wymagań zgodności kodu z Trusted Types może spowodować przerwy w działaniu rozszerzeń innych firm, ponieważ przeglądarka będzie blokować ich manipulacje DOM.