Điều gì sẽ thay đổi
Chúng tôi đang cải thiện khả năng bảo mật phía máy khách của YouTube bằng tính năng Loại đáng tin cậy. Điều này sẽ cung cấp thêm một lớp bảo vệ xung quanh các API Mô hình đối tượng tài liệu (DOM) mà các tiện ích của bên thứ ba sử dụng.
Kiểu đáng tin cậy yêu cầu các tiện ích trình duyệt bên thứ ba sử dụng đối tượng đã nhập thay vì chuỗi khi gán giá trị cho API DOM. Kể từ ngày 25 tháng 7 năm 2024, các tiện ích trình duyệt không tuân thủ các yêu cầu bảo mật về Loại đáng tin cậy có thể ngừng hoạt động sau khi chúng tôi thực thi. Vì vậy, nhà phát triển tương ứng nên làm theo hướng dẫn Ngăn các lỗ hổng tập lệnh trên nhiều trang web dựa trên DOM để đảm bảo tiện ích trình duyệt tương thích với các tiêu chuẩn bảo mật mới của YouTube.
Lý do điều này quan trọng
Việc bật tính năng Loại đáng tin cậy trên YouTube sẽ bảo vệ người dùng khỏi một loạt các cuộc tấn công tập lệnh trên nhiều trang web (XSS). Nhờ đó, chúng tôi có thể tăng cường các chế độ kiểm soát nâng cao về việc bảo vệ dữ liệu để đảm bảo an toàn cho người dùng và dữ liệu trên nhiều tiện ích mà họ sử dụng hằng ngày trên YouTube.
Tôi nên làm gì
Người xem và nhà sáng tạo
Bạn không cần làm gì cả. Người dùng gặp vấn đề có thể tạm thời tắt các tiện ích trình duyệt gây ra vấn đề và thông báo cho các nhà phát triển tương ứng. Nếu gặp sự cố khi phát video trên YouTube, bạn nên mở YouTube trong một cửa sổ ẩn danh và tắt tất cả tiện ích. Để biết thêm các bước khắc phục sự cố, hãy xem bài viết này trên Trung tâm trợ giúp.
Nhà phát triển
- Nếu tiện ích của bạn sửa đổi HTML và người dùng có thể sử dụng tiện ích đó trên youtube.com, thì bạn nên làm theo các bước sau để kiểm tra xem tiện ích của mình có tương thích và hoạt động đúng cách sau khi chúng tôi thực thi tính năng này hay không:
- Ghi đè tiêu đề phản hồi nhờ sự trợ giúp của Công cụ dành cho nhà phát triển Chrome. Để làm như vậy, hãy thêm nội dung sau vào phần ghi đè tiêu đề cục bộ cho youtube.com:
Content-Security-Policy: require-trusted-types-for 'script' - Bỏ qua Trình chạy dịch vụ của YouTube. Mở công cụ dành cho nhà phát triển, chuyển đến thẻ Ứng dụng rồi chọn "Trình chạy dịch vụ" trong phần Ứng dụng. Đánh dấu vào "Bỏ qua cho mạng" trong phần cài đặt Worker dịch vụ.
- Để hỗ trợ, bạn có thể bật điểm ngắt tự động trên các lỗi vi phạm về Loại đáng tin cậy. Theo thiết kế, Loại đáng tin cậy sẽ gây ra lỗi thời gian chạy nếu phát hiện thấy lỗi vi phạm Loại đáng tin cậy.
- Kiểm thử quy trình công việc của tiện ích. Bạn sẽ gặp lỗi trong Bảng điều khiển dành cho nhà phát triển Chrome DevTools nếu xảy ra lỗi vi phạm Loại đáng tin cậy (cũng như lỗi chạm điểm ngắt nếu bạn đã bật điểm ngắt).
- Ghi đè tiêu đề phản hồi nhờ sự trợ giúp của Công cụ dành cho nhà phát triển Chrome. Để làm như vậy, hãy thêm nội dung sau vào phần ghi đè tiêu đề cục bộ cho youtube.com:
- Nếu mã tiện ích của bạn chứa lỗi vi phạm về Loại đáng tin cậy, hãy làm theo hướng dẫn Ngăn chặn lỗ hổng tập lệnh trên nhiều trang web dựa trên DOM để khắc phục các lỗi vi phạm đó. Có một số cách để tuân thủ Loại đáng tin cậy, chẳng hạn như xoá mã vi phạm, sử dụng thư viện (chẳng hạn như safevalues hoặc DOMPurify) hoặc tạo chính sách về Loại đáng tin cậy.
Bạn cũng nên kiểm tra danh sách khung và thư viện này để giúp phần mở rộng của bạn tuân thủ Loại đáng tin cậy (bạn có thể đang sử dụng một thư viện bên thứ ba cũ và cần cập nhật).
Để đảm bảo người dùng có trải nghiệm liền mạch, bạn nên thiết lập các tiện ích trình duyệt để tuân thủ Loại đáng tin cậy trước khi tính năng bảo mật này được triển khai trên YouTube. Việc không tuân thủ Loại đáng tin cậy của mã có thể gây ra sự cố về tính năng cho các tiện ích của bên thứ ba vì trình duyệt sẽ chặn các thao tác DOM của chúng.