解析标头 X-XSS-Protection 时出错 - Google Chrome

Posted 2023-02-24

【中文标题】解析标头 X-XSS-Protection 时出错 - Google Chrome

【英文标题】：Error parsing header X-XSS-Protection - Google Chrome

【发布时间】：2018-07-20 18:11:31

【问题描述】：

我在 Windows 10 机器上将 Google Chrome 升级到了Version 64.0.3282.140 (Official Build) (64-bit)。完成后，我在开发人员工具控制台中的网站上收到此错误。不确定从哪里开始。去年我确实看到了一个类似的问题，这是 youtube 的问题（也在 url 中），但我还没有看到任何解决方案。

Error parsing header X-XSS-Protection: 1; mode=block; 
report=https://www.google.com/appserve/security-bugs/log/youtube: insecure 
reporting URL for secure page at character position 22. The default 
protections will be applied.
16:07:31.905

当我通过嵌入式 url 直接访问 youtube 时，我也看到了这个问题，所以它不仅仅是在我的网站上。

更新

我在响应中附上了一张标题的照片，表明似乎正在产生问题的 google.com 网址。

【参考方案1】：

这是当前 Google Chrome 和 Chromium 中的一个已知错误：https://bugs.chromium.org/p/chromium/issues/detail?id=807304

在当前版本的浏览器中，出于某些安全原因，Chrome 开发人员已将 X-XSS-Protection 的报告字段 URL 限制为相同的域来源。因此，当您使用一些嵌入代码嵌入视频时，当它从另一个设置了标题“report=https://www.google.com/”的服务器下载时，并且您的页面未托管在 google.com 域中时 - 会出现错误消息。

然而，所有小型网站（包括 youtube.com）都在发送包含不同来源域的报告 URL。很可能，他们甚至不知道 Chrome 最近的这种变化。因此，要么 YouTube 将更改其标题，要么 Chrome 开发人员将其还原。作为最终用户，我们无能为力。等他们解决这个问题。

更新：

这个问题已经在Version 66.0.3359.117 (Official Build) (64-bit)修复了

【讨论】：

在 Chrome 66.0.3350.0 (Official Build) canary (64-bit) 中仍然可见

似乎已在 Chrome 67.0.3381.0 (Official Build) canary (64-Bit) 中修复

@HonsaStunna 是 Mac 版吗？我有最新的 Win 65.0.3325.181 (Official Build) (64-bit) 仍然看到这个错误。

在最新的 chrome 中仍然可见。

问题已在 bugs.chromium.org 中修复，在 Chrome 65（稳定版）中仍然可见，但在 Chrome 68（金丝雀）中消失了

【参考方案2】：

该问题已在 Google Chrome 新更新中得到修复。

Version 66.0.3359.117 (Official Build) (64-bit)

确保您已将 Chrome 更新到此版本。

【讨论】：

只是确认：从 65 更新到 66，我再也看不到那个错误了。