Что меняется
Мы улучшаем безопасность клиента YouTube с помощью Trusted Types . Это обеспечит дополнительный уровень защиты API-интерфейсов объектной модели документа (DOM), используемых сторонними расширениями.
Доверенные типы требуют, чтобы сторонние расширения браузера использовали типизированные объекты вместо строк при присвоении значений API DOM. Начиная с 25 июля 2024 г. расширения браузера, не соответствующие требованиям безопасности доверенных типов, могут перестать работать после принудительного применения, поэтому мы рекомендуем соответствующим разработчикам следовать руководству по предотвращению уязвимостей межсайтового скриптинга на основе DOM, чтобы гарантировать совместимость расширений браузера с новыми. Стандарты безопасности YouTube.
Почему это важно
Включение доверенных типов на YouTube защитит наших пользователей от широкого спектра атак с использованием межсайтовых сценариев (XSS). Оно еще больше усиливает наши расширенные средства контроля защиты данных, обеспечивая безопасность пользователей и данных в большем количестве расширений, которые они ежедневно используют на YouTube.
Что я должен делать
Зрители и создатели
Никаких действий не требуется. Пользователи, у которых возникли проблемы, могут временно отключить расширения браузера , вызывающие проблемы, и сообщить об этом соответствующим разработчикам . Если у вас возникли проблемы с воспроизведением видео на YouTube, мы рекомендуем открыть YouTube в окне инкогнито с отключенными всеми расширениями. Дополнительные инструкции по устранению неполадок можно найти в статье нашего Справочного центра .
Разработчики
- Если ваше расширение изменяет HTML и пользователь может использовать его на youtube.com, мы рекомендуем вам выполнить следующие действия, чтобы проверить, совместимы ли ваши расширения и будут ли они работать правильно после принудительного применения функции:
- Переопределить заголовки ответов с помощью инструментов разработчика Chrome . Для этого добавьте следующее в локальные переопределения заголовков для youtube.com:
Content-Security-Policy: require-trusted-types-for 'script' - Обход работника службы YouTube . Откройте инструменты разработчика, перейдите на вкладку «Приложение» и выберите «Сервисные работники» в разделе «Приложение». Установите флажок «Обход сети» в настройках Service Workers.
- В качестве дополнительной помощи вы можете включить автоматические точки останова при нарушениях доверенного типа . По замыслу доверенные типы вызывают ошибку во время выполнения, если обнаружено нарушение доверенных типов.
- Протестируйте рабочие процессы расширения. Вы получите сообщение об ошибке в консоли разработчика Chrome DevTools, если произойдет нарушение доверенных типов (а также попадание в точку останова, если вы ее включили).
- Переопределить заголовки ответов с помощью инструментов разработчика Chrome . Для этого добавьте следующее в локальные переопределения заголовков для youtube.com:
- Если код вашего расширения содержит нарушения доверенных типов, следуйте руководству по предотвращению уязвимостей межсайтового скриптинга на основе DOM, чтобы устранить их. Существует несколько способов обеспечения совместимости с доверенными типами, например удаление нарушающего кода, использование библиотеки (например, Safevalues или DOMPurify ) или создание политики доверенных типов .
Возможно, вы также захотите просмотреть этот список платформ и библиотек , которые помогут обеспечить совместимость вашего расширения с доверенными типами (возможно, вы используете старую стороннюю библиотеку, которую стоит обновить).
Чтобы обеспечить бесперебойную работу пользователей, рекомендуется, чтобы расширения браузера были совместимы с надежными типами, прежде чем функция безопасности будет развернута на YouTube. Неспособность обеспечить соответствие кода доверенным типам может привести к сбоям в работе сторонних расширений, поскольку их манипуляции с DOM будут заблокированы браузером.