Noscript empêche attaques XSS sur YouTube

[Manervi]

Bonjour,

désolé si je ne poste pas dans la bonne section ou si le titre du sujet n'est pas techniquement exact.

Depuis hier soir je crois, lorsque je regarde des vidéos sur YT, Noscript me lance une notification à chaque fois que je scroll vers le bas et que le navigateur charge les commentaires :

NoScript filtered a potential cross-site scripting (XSS) attempt from [https://www.youtube.com]. Technicals details have been logged to the Console.

Je suis allé jeter un oeil dans la console, il y a beaucoup d'avertissements, en voici un.

Par contre j'ignore ce qu'il signifie.

Est-ce que quelqu'un pourrait m'expliquer de quoi il retourne ?

Merci d'avance.

Edit: Apparemment je ne suis pas la seule personne dans ce cas, et le dev semble avoir une explication, mais je n'y comprend pas grand chose (connaissance en programmation et javascript très faible) :

The tricky thing here is that the site is actually passing entire JavaScript functions around inside URLs, which is exactly what triggers NoScript's anti-XSS filter by design.
I wouldn't be surprised if making an exception for this specific Google API usage scenario would allow real XSS abuse.

[Manervi]

Du peu que j'ai crû comprendre, Google aurait changé qch dans ses algos ou son API YouTube qui pourrait peut-être (le dev n'en semble pas sûr) être exploité via une attaque XSS.

En attendant, pour être débarrassé des avertissements à répétition de NoScript, il propose de rajouter le filtre XSS (Options > Advanced > XSS) :

^https://(?:plus\.googleapis|apis\.google)\.com/[\w/]+/widget/render/comments\?

Ou de télécharger la dernière version en développement 2.6.8.1 disponible sur le site qui d'après le changelog contourne le pb :

x Work-around for Youtube comments XSS false (?) positive