Googleは、ウェブアプリケーションのセキュリティを向上させるために「Trusted Types」という機能を昨年から提供しています。これは、サイバーセキュリティの脅威であるDOM XSS(ドキュメントオブジェクトモデル クロスサイトスクリプティング)からの防御を目的としたブラウザベースの機能です。
そして、この度Googleは、Trusted TypesをGmailにも拡大することを発表しました。Trusted Typesは、DOM APIを利用するサードパーティの拡張機能などに対して、厳格な制約を設けます。
これによって不正なコードの注入および実行のリスクを低減し、ユーザーとそのデータをさらに安全に保護することが可能になります。このアップデートは特に開発者に影響があるものです。
Chrome拡張機能などを開発している人たちは、DOM APIに文字列を割り当てる代わりに、型付けされたオブジェクトを使用することが必要になります。
完全にTrusted Typesが適用されると、コンテンツセキュリティポリシー(CSP)ヘッダーにTrusted Typesの指示が含まれるようになります。
エンドユーザーや管理者が特別に行うべき設定はなく、この機能は全てのGoogle Workspaceユーザーと個人のGoogleアカウントに利用可能です。
ただし、DOMを操作するサードパーティの拡張機能に関しては、Trusted Typesの導入によって機能が妨げられる可能性がありますので、適切な対策が求められます。
安全なインターネット環境を維持するためには、セキュリティの更新は刻一刻と進行しているため、GmailのTrusted Types導入のこの一歩は重要な意味を持ちます。
扱いに注意が必要な開発者の皆さんは、早めに対応をお願いします。導入は2024年2月12日のRapid Releaseドメインから開始され、3月11日からはScheduled Releaseドメインにも展開されます。
詳細については、参照元のサイトでご確認ください。