변경되는 사항
YouTube는 신뢰할 수 있는 유형을 통해 YouTube의 클라이언트 측 보안을 개선하고 있습니다. 이렇게 하면 서드 파티 확장 프로그램에서 사용하는 DOM (Document Object Model) API와 관련된 보안 레이어가 한층 강화됩니다.
신뢰할 수 있는 유형을 사용하려면 DOM API에 값을 할당할 때 서드 파티 브라우저 확장 프로그램에서 문자열 대신 유형이 지정된 객체를 사용해야 합니다. 2024년 7월 25일부터 신뢰할 수 있는 유형의 보안 요구사항을 준수하지 않는 브라우저 확장 프로그램은 시행 후 작동이 중지될 수 있습니다. 따라서 해당 개발자는 DOM 기반 교차 사이트 스크립팅 취약점 방지 가이드에 따라 브라우저 확장 프로그램이 새로운 YouTube 보안 표준과 호환되도록 하는 것이 좋습니다.
중요한 이유
YouTube에서 신뢰할 수 있는 유형을 사용 설정하면 다양한 교차 사이트 스크립팅 (XSS) 공격으로부터 사용자를 보호할 수 있습니다. 고급 데이터 보호 설정을 더욱 개선하여 YouTube에서 매일 사용하는 더 많은 확장 프로그램에서 사용자와 데이터를 안전하게 보호합니다.
어떻게 해야 하나요?
시청자 및 크리에이터
별도의 조치는 필요하지 않습니다. 문제가 발생한 사용자는 문제를 일으키는 브라우저 확장 프로그램을 일시적으로 사용 중지하고 해당 개발자에게 알릴 수 있습니다. YouTube 동영상을 재생하는 데 문제가 있다면 모든 확장 프로그램이 사용 중지된 시크릿 창에서 YouTube를 여는 것이 좋습니다. 자세한 문제 해결 단계는 고객센터 도움말을 참고하세요.
개발자
- 확장 프로그램에서 HTML을 수정하고 사용자가 youtube.com에서 사용할 수 있는 경우 다음 단계에 따라 확장 프로그램이 호환되며 기능이 시행된 후 제대로 작동하는지 확인하시기 바랍니다.
- Chrome 개발자 도구를 사용하여 응답 헤더를 재정의합니다. 이렇게 하려면 다음을 youtube.com의 로컬 헤더 재정의에 추가합니다.
Content-Security-Policy: require-trusted-types-for 'script' - YouTube 서비스 워커를 우회합니다. 개발자 도구를 열고 애플리케이션 탭으로 이동한 후 애플리케이션 섹션에서 '서비스 워커'를 선택합니다. 서비스 워커 설정에서 'Bypass for network'를 선택합니다.
- 도움이 되도록 신뢰할 수 있는 유형 위반 시 자동 중단점을 사용 설정할 수 있습니다. 기본적으로 신뢰할 수 있는 유형 위반이 감지되면 신뢰할 수 있는 유형에서 런타임 오류가 발생합니다.
- 확장 프로그램 워크플로를 테스트합니다. 신뢰할 수 있는 유형 위반이 발생하면 Chrome DevTools 개발자 콘솔에서 오류가 발생합니다 (사용 설정한 경우 중단점 적중).
- Chrome 개발자 도구를 사용하여 응답 헤더를 재정의합니다. 이렇게 하려면 다음을 youtube.com의 로컬 헤더 재정의에 추가합니다.
- 확장 프로그램 코드에 신뢰할 수 있는 유형 위반이 포함된 경우 DOM 기반 교차 사이트 스크립팅 취약점 방지 가이드에 따라 이를 해결하세요. 신뢰할 수 있는 유형을 준수하는 데는 문제가 되는 코드 삭제, 라이브러리 (safevalues 또는 DOMPurify 등) 사용, 신뢰할 수 있는 유형 정책 생성 등 여러 가지 방법이 있습니다.
확장 프로그램이 신뢰할 수 있는 유형을 준수하도록 하는 데 도움이 되는 프레임워크 및 라이브러리 목록도 확인해 보세요 (업데이트할 만한 오래된 서드 파티 라이브러리를 사용 중일 수 있음).
사용자에게 원활한 환경을 보장하려면 YouTube에 보안 기능을 출시하기 전에 브라우저 확장 프로그램이 신뢰할 수 있는 유형을 준수하도록 하는 것이 좋습니다. 코드가 신뢰할 수 있는 유형을 준수하도록 만들지 못하면 브라우저에서 DOM 조작을 차단하므로 서드 파티 확장 프로그램의 기능 중단이 발생할 수 있습니다.