Trusted Types が Gmail にも対応
2024年1月24日水曜日
この記事は 1 月 12 日に英語版ブログに掲載された記事を翻訳したものです。
昨年、Google ドキュメント、スプレッドシート、スライド、フォーム、サイト、図形描画、ドライブ、カレンダーのクライアントサイド セキュリティが、Trusted Types によって向上いたしました。このブラウザベースのランタイム機能は、これらのアプリやサードパーティ製拡張機能が使用するドキュメント オブジェクト モデル(DOM)の API を制限するものです。Trusted Types は、ウェブ セキュリティにおいて最も深刻な脅威の一つであるドキュメント オブジェクト モデルのクロスサイト スクリプティング(DOM XSS)のリスクを減らす効果もあります。
DOM XSS とは、サイバー攻撃者によってウェブページに注入された悪質なコードが、ユーザーのブラウザ上で実行されることを指します。その結果、Cookie が盗まれたり、セッションがハイジャックされたり、コンピュータが乗っ取られたりする恐れがあります。
こうした被害を防止するため、このたび、Trusted Types が Gmail に拡張されることになりました。これにより、日常的に使用するより多くのアプリで DOM XSS の被害を防げるようになり、高度なデータ保護管理がさらに強化されます。
デベロッパー(DOM API を変更するあらゆる Chrome 拡張機能をご利用の方)
この新しい自動適用モードでは、サードパーティ製拡張機能が DOM API に値を割り当てる際に、文字列の代わりに型付きオブジェクトを使用する必要があります。Trusted Types が完全に適用されると、Content Security Policy(CSP)ヘッダーに Trusted Types のディレクティブが表示されます。
Content-Security-Policy: require-trusted-types-for 'script';report-uri https://mail.google.com/mail/cspreport
- 管理者: この機能に管理者向けの設定はありません。
- デベロッパー:
- コードを Trusted Types 準拠にするには、Trusted Type の特殊オブジェクトを作成して、これらの DOM API のコンテキスト内で使用されるデータが信頼できるものであることをブラウザに通知します。
- Trusted Types 準拠にするには、問題のコードを削除する、ライブラリを使用する(safevalues や DOMPurify など)、Trusted Types ポリシーを作成するなど、いくつかの方法があります。シームレスなユーザー エクスペリエンスを実現するには、Trusted Types の適用が開始される前にこれらの技術を採用することをおすすめします。コードを Trusted Types に準拠させていないと、DOM の処理がブラウザによってブロックされ、サードパーティ製拡張機能のエラーが発生する可能性があります。
- エンドユーザー: この機能にエンドユーザー向けの設定はありません。
- 即時リリースを利用しているドメイン: 2024 年 2 月 12 日以降、長期的に展開(機能の実装に 15 日以上かかる場合があります)
- 計画的リリースを利用しているドメイン: 2024 年 3 月 11 日以降、段階的に展開(最長 15 日で機能が実装されます)
- Google Workspace をご利用のすべてのお客様と、個人の Google アカウントをお持ちのユーザーの方。