Was ändert sich?
Mit Vertrauenswürdigen Typen verbessern wir die clientseitige Sicherheit von YouTube. Dadurch wird ein zusätzlicher Schutz für Document Object Model-APIs (DOM) geboten, die von Erweiterungen von Drittanbietern verwendet werden.
Bei vertrauenswürdigen Typen müssen Browsererweiterungen von Drittanbietern beim Zuweisen von Werten zu DOM APIs typisierte Objekte anstelle von Strings verwenden. Ab dem 25. Juli 2024 funktionieren Browsererweiterungen, die nicht den Sicherheitsanforderungen für vertrauenswürdige Typen entsprechen, möglicherweise nicht mehr. Wir empfehlen entsprechenden Entwicklern, den Leitfaden DOM-basierte Cross-Site-Scripting-Sicherheitslücken verhindern zu lesen, um dafür zu sorgen, dass Browsererweiterungen mit den neuen Sicherheitsstandards von YouTube kompatibel sind.
Warum ist das wichtig?
Wenn du vertrauenswürdige Typen auf YouTube aktivierst, werden unsere Nutzer vor einer Vielzahl von Cross-Site-Scripting-Angriffen (XSS) geschützt. Außerdem werden unsere erweiterten Datenschutzeinstellungen weiter verbessert, um Nutzer und Daten in noch mehr Erweiterungen zu schützen, die sie täglich auf YouTube verwenden.
Was soll ich tun?
Zuschauer und Creator
Es sind keine weiteren Schritte erforderlich. Nutzer, die Probleme haben, können Browsererweiterungen, die Probleme verursachen, vorübergehend deaktivieren und die entsprechenden Entwickler informieren. Wenn du Probleme beim Abspielen eines YouTube-Videos hast, empfehlen wir dir, YouTube in einem Inkognitofenster zu öffnen und alle Erweiterungen zu deaktivieren. Weitere Schritte zur Fehlerbehebung findest du in diesem Hilfeartikel.
Entwickler
- Wenn deine Erweiterung HTML-Code verändert und ein Nutzer sie auf youtube.com verwenden könnte, empfehlen wir dir, die folgenden Schritte auszuführen, um zu prüfen, ob deine Erweiterungen kompatibel sind und nach der Erzwingung der Funktion ordnungsgemäß funktionieren:
- Antwortheader mithilfe der Chrome-Entwicklertools überschreiben Fügen Sie dazu Folgendes zu den lokalen Header-Überschreibungen für youtube.com hinzu:
Content-Security-Policy: require-trusted-types-for 'script' - YouTube-Dienst-Worker umgehen Öffnen Sie die Entwicklertools, rufen Sie den Tab „Anwendung“ auf und wählen Sie im Abschnitt „Anwendung“ die Option „Dienstworker“ aus. Aktivieren Sie in den Service Worker-Einstellungen die Option „Umgehung für Netzwerk“.
- Als Hilfestellung können Sie automatische Unterbrechungen bei Verstößen gegen vertrauenswürdige Typen aktivieren. Vertrauenswürdige Typen führen standardmäßig zu einem Laufzeitfehler, wenn ein Verstoß gegen die Regeln für vertrauenswürdige Typen erkannt wird.
- Testen Sie Ihre Workflows für Erweiterungen. Wenn ein Verstoß gegen vertrauenswürdige Typen auftritt, wird in der Chrome-Entwicklertools-Konsole ein Fehler angezeigt. Wenn Sie einen Haltepunkt aktiviert haben, wird auch ein Haltepunkt ausgelöst.
- Antwortheader mithilfe der Chrome-Entwicklertools überschreiben Fügen Sie dazu Folgendes zu den lokalen Header-Überschreibungen für youtube.com hinzu:
- Wenn der Code Ihrer Erweiterung Verstöße gegen vertrauenswürdige Typen enthält, folgen Sie der Anleitung unter DOM-basierte Cross-Site-Scripting-Sicherheitslücken verhindern, um sie zu beheben. Es gibt mehrere Möglichkeiten, die Anforderungen an Trusted Types einzuhalten,z. B. den fehlerhaften Code zu entfernen, eine Bibliothek wie safevalues oder DOMPurify zu verwenden oder eine Richtlinie für Trusted Types zu erstellen.
Sehen Sie sich auch diese Liste mit Frameworks und Bibliotheken an, die Ihnen dabei helfen können, Ihre Erweiterung vertrauenswürdig zu machen. Möglicherweise verwenden Sie eine alte Bibliothek von Drittanbietern, die Sie aktualisieren sollten.
Damit die Nutzung für Nutzer reibungslos funktioniert, empfehlen wir, Browsererweiterungen so zu konfigurieren, dass sie den Trusted Types-Standard erfüllen, bevor die Sicherheitsfunktion auf YouTube eingeführt wird. Wenn der Code nicht vertrauenswürdigen Typen entspricht, können Funktionen von Drittanbietererweiterungen nicht mehr genutzt werden, da ihre DOM-Manipulationen vom Browser blockiert werden.