web-dev-qa-db-ja.com

ヘッダーX-XSS-Protectionの解析エラー - Google Chrome

Windows 10マシンでGoogle ChromeをVersion 64.0.3282.140 (Official Build) (64-bit)にアップグレードしました。私がやった、私は私のサイトの開発者ツールコンソール内でこのエラーを得ています。どこから始めればいいかわからない。私は昨年(同様にURLの)youtubeに関する問題である同様の問題を見ましたが、私は解決策を見ていません。

Error parsing header X-XSS-Protection: 1; mode=block; 
report=https://www.google.com/appserve/security-bugs/log/youtube: insecure 
reporting URL for secure page at character position 22. The default 
protections will be applied.
16:07:31.905

埋め込みURLを介してyoutubeに直接アクセスしたときにも問題が発生しているので、私のサイトだけでは発生しません。

更新

問題の原因と思われるgoogle.comのURLを示すヘッダーの写真をレスポンスに添付しました。

enter image description here

85
Cannon Moyer

これは現在のGoogle ChromeとChromiumの既知のバグです。
https://bugs.chromium.org/p/chromium/issues/detail?id=807304

現在のバージョンのブラウザでは、セキュリティ上の理由から、Chrome開発者はX-XSS-ProtectionのレポートフィールドURLを同じドメインOriginに制限していました。そのため、ヘッダーに "report = https://www.google.com/ "が設定されていて、ページがホストされていない別のサーバーからダウンロードするため、埋め込みコードを使用して動画を埋め込む場合google.comドメイン - エラーメッセージが表示されます。

それでも、すべてのマイナーサイト(youtube.comを含む)は、異なるOriginドメインを含むレポートURLを送信しています。おそらく、彼らはこの最近のChromeの変更にさえ気付いていません。そのため、YouTubeはヘッダーを変更するか、Chrome開発者はこれを元に戻します。エンドユーザーとして私たちにできることは何もありません。彼らがこれを解決するまで待ってください。

更新:

この問題はVersion 66.0.3359.117 (Official Build) (64-bit)で修正されています

144
Maksim Volkov

この問題はGoogle Chromeの新しいアップデートで修正されています。

Version 66.0.3359.117 (Official Build) (64-bit)

Chromeをこのバージョンにアップデートしたことを確認してください。

5
Hussnain sheikh