Co się zmienia
Poprawiamy bezpieczeństwo po stronie klienta w YouTube za pomocą kategorii Zaufane typy. Stanowi to dodatkową warstwę zabezpieczeń związanych z interfejsami Document Object Model (DOM) używanymi przez rozszerzenia innych firm.
Zaufane typy wymagają, aby rozszerzenia przeglądarek innych firm do przypisywania wartości do interfejsów DOM API używały wpisanych obiektów zamiast ciągów. Od 25 lipca 2024 r. rozszerzenia do przeglądarki, które nie spełniają wymagań dotyczących bezpieczeństwa zaufanych typów, mogą przestać działać po ich wyegzekwowaniu. Zachęcamy więc deweloperów do przestrzegania przewodnika Zapobieganie występowaniu luk w zabezpieczeniach związanych z atakami typu cross-site na podstawie DOM w celu zapewnienia zgodności rozszerzeń przeglądarki z nowymi standardami bezpieczeństwa YouTube.
Dlaczego to ważne
Włączenie zaufanych typów w YouTube ochroni naszych użytkowników przed szeroką gamą ataków typu cross-site scripting (XSS). Rozszerzamy nasze zaawansowane ustawienia ochrony danych, aby zapewnić bezpieczeństwo użytkownikom i ich danym w większości rozszerzeń, których codziennie używają w YouTube.
Co mam zrobić
Widzowie i twórcy
Nie musisz nic robić. Użytkownicy, u których występują problemy, mogą tymczasowo wyłączyć rozszerzenia przeglądarki, które powodują problemy, i powiadomić odpowiednich deweloperów. Jeśli masz problemy z odtwarzaniem filmów w YouTube, zalecamy otwarcie YouTube w oknie incognito, w którym wszystkie rozszerzenia są wyłączone. Więcej sposobów rozwiązywania problemów znajdziesz w tym artykule w Centrum pomocy.
Deweloperzy
- Jeśli Twoje rozszerzenie modyfikuje kod HTML i użytkownik może go użyć na stronie youtube.com, wykonaj te czynności, by sprawdzić, czy rozszerzenia są zgodne i będą działać prawidłowo po wyegzekwowaniu zasad:
- Zastąp nagłówki odpowiedzi za pomocą Narzędzi deweloperskich w Chrome Aby to zrobić, dodaj ten kod do lokalnych zastąpień nagłówka w przypadku youtube.com:
Content-Security-Policy: require-trusted-types-for 'script' - Omijaj skrypt service worker YouTube. Otwórz narzędzia dla programistów, przejdź na kartę Aplikacja i w sekcji Aplikacja wybierz „Skrypty service worker”. Zaznacz opcję „Pomijaj dla sieci” w ustawieniach mechanizmów Service Worker.
- Aby Ci w tym pomóc, możesz włączyć automatyczne punkty przerwania w przypadku naruszeń zasad dotyczących zaufanego typu. Z założenia funkcja Zaufane typy powodują błąd w czasie działania w przypadku wykrycia naruszenia zasad dotyczących zaufanych typów.
- Przetestuj przepływy pracy dotyczące rozszerzeń. Jeśli wystąpi naruszenie zasad dotyczących zaufanych typów, w konsoli programisty Chrome dla Narzędzi deweloperskich pojawi się błąd (oraz trafienie w punkcie przerwania, jeśli zostało włączone).
- Zastąp nagłówki odpowiedzi za pomocą Narzędzi deweloperskich w Chrome Aby to zrobić, dodaj ten kod do lokalnych zastąpień nagłówka w przypadku youtube.com:
- Jeśli Twój kod rozszerzenia zawiera naruszenia związane z zaufanymi typami, postępuj zgodnie z instrukcjami podanymi w przewodniku Zapobieganie występowaniu luk w zabezpieczeniach związanych z innymi lukami w zabezpieczeniach opartych na modelu DOM, aby je wyeliminować. Istnieje kilka sposobów na zapewnienie zgodności z zasadami dotyczącymi zaufanych typów, np. usunięcie niewłaściwego kodu, użycie biblioteki (np. safevalues lub DOMPurify) lub utworzenie zasad dotyczących zaufanych typów.
Warto też zapoznać się z tą listą platform i bibliotek, które pomogą zapewnić zgodność rozszerzenia z Zaufanymi typami (możliwe, że korzystasz ze starej biblioteki zewnętrznej, którą warto zaktualizować).
Aby zapewnić bezproblemową obsługę użytkowników, zalecamy, aby rozszerzenia przeglądarki były zgodne z zasadami zaufanych typów przed wprowadzeniem funkcji zabezpieczeń w YouTube. Niezgodność kodu z zaufanymi typami może spowodować awarie funkcji rozszerzeń innych firm, ponieważ ich manipulacje DOM będą blokowane przez przeglądarkę.