解析标头X-XSS-Protection时出错-Google Chrome


86

我将Google Chrome升级到Version 64.0.3282.140 (Official Build) (64-bit)Windows 10计算机上。完成后,我会在开发人员工具控制台的网站上看到此错误。不确定从哪里开始。去年我确实看到了类似的问题,这是youtube的问题(也在url中),但是我没有看到任何解决方案。

Error parsing header X-XSS-Protection: 1; mode=block; 
report=https://www.google.com/appserve/security-bugs/log/youtube: insecure 
reporting URL for secure page at character position 22. The default 
protections will be applied.
16:07:31.905

当我通过嵌入式网址直接转到youtube时,我也看到了这个问题,因此它不仅出现在我的网站上。

更新

我已在响应中附加了标头的照片,这些标头表示似乎正在产生问题的google.com网址。

在此处输入图片说明

Answers:


144

这是当前Google Chrome和Chromium中的一个已知错误:https : //bugs.chromium.org/p/chromium/issues/detail? id
=807304

在当前版本的浏览器中,出于某些安全原因,Chrome开发者已将X-XSS-Protection的报告字段URL限制为同一域来源。因此,当您嵌入带有某些嵌入代码的视频时,它是从另一台服务器下载的,该服务器设置了标头“ report = https://www.google.com/ ”,而您的网页并未托管在google.com上域-出现错误消息。

但是,所有次要网站(包括youtube.com)都在发送带有不同原始域的报告URL。可能他们甚至都不知道Chrome最近发生的变化。因此,YouTube将更改其标题,或者Chrome开发人员将还原此标题。作为最终用户,我们无能为力。等待他们解决这个问题。

更新:

该问题已修复 Version 66.0.3359.117 (Official Build) (64-bit)


23
在Chrome 66.0.3350.0(正式版本)金丝雀(64位)中仍然可见
Ben Racicot

5
似乎固定在Chrome 67.0.3381.0(正式版本)金丝雀(64位)
Honsa Stunna

2
@HonsaStunna是Mac版本吗?我拥有最新的Win 65.0.3325.181(正式版本)(64位),仍然看到此错误。
模仿

6
在后期镀铬中仍然可见。
Manjunath Reddy '18年

2
问题已在bugs.chromium.org中修复,在Chrome 65(稳定版)中仍然可见,但在Chrome 68(金丝雀)中已消失

5

该问题已在Google Chrome新更新中修复。

Version 66.0.3359.117 (Official Build) (64-bit)

确保您已将Chrome更新到此版本。


只需确认:从65更新为66,我再也看不到该错误。
JoePC '18
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.