異動內容
我們正在使用信任類型改善 YouTube 的用戶端安全性。這麼做可為第三方擴充功能使用的 Document Object Model (DOM) API 提供額外一層防護。
信任類型功能要求第三方瀏覽器擴充功能在將值指派給 DOM API 時,使用指定類型的物件,而非字串。自 2024 年 7 月 25 日起,不符合信任類型安全性規定的瀏覽器擴充功能可能會在政策生效後停止運作,因此我們鼓勵相關開發人員遵循防止 DOM 架構的跨網站指令碼漏洞指南,確保瀏覽器擴充功能與新的 YouTube 安全標準相容。
重要性
在 YouTube 上啟用信任類型,可保護使用者免於遭受大量跨網站指令碼 (XSS) 攻擊。這項功能進一步強化了進階資料保護控制項,讓使用者在 YouTube 上每天使用的更多擴充功能都能保護使用者和資料安全。
該怎麼辦
觀眾和創作者
您無須採取行動,遇到問題的使用者可以暫時停用造成問題的瀏覽器擴充功能,並通知相關開發人員。如果無法順利播放 YouTube 影片,建議你在無痕式視窗中開啟 YouTube,並停用所有擴充功能。如需更多疑難排解步驟,請參閱說明中心文章。
開發人員
- 如果您的擴充功能會修改 HTML,且使用者可以在 youtube.com 上使用,建議您按照下列步驟檢查擴充功能是否相容,並在功能生效後正常運作:
- 使用 Chrome 開發人員工具覆寫回應標頭。如要這樣做,請在 youtube.com 的本機標頭覆寫值中加入以下內容:
Content-Security-Policy: require-trusted-types-for 'script'
- 略過 YouTube Service worker。開啟開發人員工具,前往「Application」分頁,然後選取「Application」部分中的「Service workers」。在服務工作者設定中勾選「Bypass for network」。
- 您可以針對信任類型違規啟用自動中斷點,以利進行輔助。根據設計,如果偵測到 Trusted Types 違規情形,Trusted Types 就會導致執行階段錯誤。
- 測試擴充功能工作流程。如果發生信任類型違規情形 (以及您已啟用的中斷點命中),Chrome 開發人員工具主控台就會顯示錯誤訊息。
- 使用 Chrome 開發人員工具覆寫回應標頭。如要這樣做,請在 youtube.com 的本機標頭覆寫值中加入以下內容:
- 如果擴充功能程式碼含有信任類型違規,請按照避免 DOM 架構的跨網站指令碼漏洞指南解決問題。您可以透過多種方式符合信任類型規範,例如移除違規程式碼、使用程式庫 (例如 safevalues 或 DOMPurify),或是建立信任類型政策。
您也可以查看這份架構和程式庫清單,瞭解哪些架構和程式庫可協助您讓擴充功能符合「信任類型」標準 (您可能正在使用需要更新的舊版第三方程式庫)。
為確保使用者能享有順暢的體驗,建議在 YouTube 推出安全性功能前,先讓瀏覽器擴充功能符合信任類型。如果程式碼未符合信任類型的規定,可能會導致第三方擴充功能的功能中斷,因為瀏覽器會封鎖其 DOM 操作。