สิ่งที่จะเปลี่ยนแปลง
เรากำลังปรับปรุงความปลอดภัยฝั่งไคลเอ็นต์ของ YouTube ด้วยประเภทที่เชื่อถือได้ ซึ่งจะเพิ่มการป้องกันอีกชั้นหนึ่งสำหรับ Document Object Model (DOM) API ที่ใช้โดยส่วนขยายของบุคคลที่สาม
ประเภทที่เชื่อถือได้กำหนดให้ส่วนขยายเบราว์เซอร์ของบุคคลที่สามใช้ออบเจ็กต์ที่มีประเภทแทนสตริงเมื่อกำหนดค่าให้กับ DOM API ตั้งแต่วันที่ 25 กรกฎาคม 2024 เป็นต้นไป ส่วนขยายเบราว์เซอร์ที่ไม่เป็นไปตามข้อกำหนดด้านความปลอดภัยของประเภทที่เชื่อถือได้อาจหยุดทำงานหลังจากการบังคับใช้ เราจึงขอแนะนำให้นักพัฒนาแอปที่เกี่ยวข้องทำตามคำแนะนำป้องกันช่องโหว่สคริปต์ข้ามเว็บไซต์ที่อิงตาม DOM เพื่อให้ส่วนขยายเบราว์เซอร์เข้ากันได้กับมาตรฐานความปลอดภัยใหม่ของ YouTube
ความสำคัญ
การเปิดใช้ประเภทที่เชื่อถือได้บน YouTube จะปกป้องผู้ใช้จากการโจมตีด้วย Cross-site Scripting (XSS) จำนวนมาก ซึ่งจะช่วยปรับปรุงการควบคุมการคุ้มครองข้อมูลขั้นสูงให้ดียิ่งขึ้น เพื่อดูแลผู้ใช้และข้อมูลให้ปลอดภัยในการใช้งานส่วนขยายต่างๆ บน YouTube มากขึ้น
ฉันควรทำอย่างไร
ผู้ชมและครีเอเตอร์
ไม่ต้องดำเนินการใดๆ ผู้ใช้ที่พบปัญหาสามารถปิดใช้ส่วนขยายเบราว์เซอร์ชั่วคราวที่ทำให้เกิดปัญหาและแจ้งให้นักพัฒนาซอฟต์แวร์ที่เกี่ยวข้องทราบ หากคุณพบปัญหาในการเล่นวิดีโอ YouTube เราขอแนะนำให้เปิด YouTube ในหน้าต่างที่ไม่ระบุตัวตนโดยปิดใช้ส่วนขยายทั้งหมด ดูขั้นตอนการแก้ปัญหาเพิ่มเติมได้ในบทความในศูนย์ช่วยเหลือ
นักพัฒนาซอฟต์แวร์
- หากส่วนขยายแก้ไข HTML และผู้ใช้สามารถใช้ส่วนขยายดังกล่าวบน youtube.com เราขอแนะนำให้ทำตามขั้นตอนต่อไปนี้เพื่อตรวจสอบว่าส่วนขยายของคุณเข้ากันได้และจะทำงานอย่างถูกต้องหลังจากการบังคับใช้ฟีเจอร์หรือไม่
- ลบล้างส่วนหัวของคำตอบด้วยความช่วยเหลือจากเครื่องมือสำหรับนักพัฒนาซอฟต์แวร์ Chrome โดยให้เพิ่มข้อมูลต่อไปนี้ในการลบล้างส่วนหัวในเครื่องสำหรับ youtube.com
Content-Security-Policy: require-trusted-types-for 'script' - ข้าม YouTube Service Worker เปิดเครื่องมือสำหรับนักพัฒนาซอฟต์แวร์ ไปที่แท็บแอปพลิเคชัน แล้วเลือก "Service Worker" ในส่วนแอปพลิเคชัน เลือก "ข้ามสำหรับเครือข่าย" ในการตั้งค่า Service Worker
- คุณสามารถเปิดใช้จุดหยุดพักอัตโนมัติสำหรับการละเมิดประเภทที่เชื่อถือได้เพื่อช่วยในการแก้ไข Trusted Types ออกแบบมาให้ทำให้เกิดข้อผิดพลาดรันไทม์หากตรวจพบการละเมิด Trusted Types
- ทดสอบเวิร์กโฟลว์ของส่วนขยาย คุณจะได้รับข้อผิดพลาดในคอนโซลนักพัฒนาซอฟต์แวร์ของเครื่องมือสำหรับนักพัฒนาเว็บใน Chrome หากมีการละเมิดประเภทที่เชื่อถือได้ (รวมถึงการหยุดพักโปรแกรมหากเปิดใช้ไว้)
- ลบล้างส่วนหัวของคำตอบด้วยความช่วยเหลือจากเครื่องมือสำหรับนักพัฒนาซอฟต์แวร์ Chrome โดยให้เพิ่มข้อมูลต่อไปนี้ในการลบล้างส่วนหัวในเครื่องสำหรับ youtube.com
- หากโค้ดส่วนขยายมีการละเมิดประเภทที่เชื่อถือ โปรดทำตามคำแนะนำป้องกันช่องโหว่ Cross-site Scripting ที่อิงตาม DOM เพื่อแก้ไขปัญหา การปฏิบัติตามประเภทที่เชื่อถือได้ทำได้หลายวิธี เช่น การนำโค้ดที่ทำให้เกิดข้อผิดพลาดออก การใช้ไลบรารี (เช่น safevalues หรือ DOMPurify) หรือการสร้างนโยบายประเภทที่เชื่อถือได้
นอกจากนี้ คุณอาจต้องดูรายการเฟรมเวิร์กและไลบรารีนี้ซึ่งอาจช่วยให้ส่วนขยายเป็นไปตามประเภทที่เชื่อถือได้ (คุณอาจใช้ไลบรารีของบุคคลที่สามรุ่นเก่าที่ควรอัปเดต)
เราขอแนะนำให้ส่วนขยายเบราว์เซอร์เป็นไปตามประเภทที่เชื่อถือได้ก่อนที่จะมีการเปิดตัวฟีเจอร์ด้านความปลอดภัยบน YouTube เพื่อให้ผู้ใช้ได้รับประสบการณ์การใช้งานที่ราบรื่น การไม่ทำให้โค้ดเป็นไปตามประเภทที่เชื่อถือได้อาจทำให้ส่วนขยายของบุคคลที่สามใช้งานฟีเจอร์ไม่ได้ เนื่องจากเบราว์เซอร์จะบล็อกการจัดการ DOM ของส่วนขยาย