Erro ao analisar cabeçalho X-XSS-Protection - Google Chrome

Question 1

Eu atualizei o Google Chrome Version 64.0.3282.140 (Official Build) (64-bit)em uma máquina com Windows 10. Depois de fazer isso, estou recebendo este erro em meu site no console de ferramentas do desenvolvedor. Não tenho certeza por onde começar. Eu vi um problema semelhante no ano passado que era um problema com o youtube (também no url), mas não vi nenhuma solução.

Error parsing header X-XSS-Protection: 1; mode=block; 
report=https://www.google.com/appserve/security-bugs/log/youtube: insecure 
reporting URL for secure page at character position 22. The default 
protections will be applied.
16:07:31.905

Também estou vendo o problema quando vou diretamente para o youtube por meio do url incorporado, portanto, não é apenas no meu site.

ATUALIZAR

Anexei uma foto dos cabeçalhos da resposta que indicam o URL do google.com que parece estar gerando o problema.

Question 2

É um bug conhecido no atual Google Chrome e Chromium:
https://bugs.chromium.org/p/chromium/issues/detail?id=807304

Na versão atual do navegador, os desenvolvedores do Chrome restringiram o URL do campo de relatório do X-XSS-Protection à mesma origem de domínio por alguns motivos de segurança. Portanto, quando você incorpora um vídeo com algum código de incorporação, conforme ele é baixado de outro servidor onde o cabeçalho "report = https://www.google.com/ " está definido e enquanto sua página não está hospedada no google.com domínio - a mensagem de erro ocorre.

Ainda assim, todos os sites menores (incluindo youtube.com) estão enviando URL de relatório com domínios de origem diferentes. Provavelmente, eles nem estão cientes dessa mudança recente no Chrome. Portanto, o YouTube mudará seus cabeçalhos ou os desenvolvedores do Chrome reverterão isso. Não há nada que nós, como usuários finais, possamos fazer. Espere até eles resolverem isso.

ATUALIZAR:

O problema foi corrigido em Version 66.0.3359.117 (Official Build) (64-bit)

Question 3

O problema foi corrigido na nova atualização do Google Chrome.

Version 66.0.3359.117 (Official Build) (64-bit)

Certifique-se de ter atualizado o Chrome para esta versão.

Answer 1

Eu atualizei o Google Chrome Version 64.0.3282.140 (Official Build) (64-bit)em uma máquina com Windows 10. Depois de fazer isso, estou recebendo este erro em meu site no console de ferramentas do desenvolvedor. Não tenho certeza por onde começar. Eu vi um problema semelhante no ano passado que era um problema com o youtube (também no url), mas não vi nenhuma solução.

Error parsing header X-XSS-Protection: 1; mode=block; 
report=https://www.google.com/appserve/security-bugs/log/youtube: insecure 
reporting URL for secure page at character position 22. The default 
protections will be applied.
16:07:31.905

Também estou vendo o problema quando vou diretamente para o youtube por meio do url incorporado, portanto, não é apenas no meu site.

ATUALIZAR

Anexei uma foto dos cabeçalhos da resposta que indicam o URL do google.com que parece estar gerando o problema.

Answer 2

144

É um bug conhecido no atual Google Chrome e Chromium:
https://bugs.chromium.org/p/chromium/issues/detail?id=807304

Na versão atual do navegador, os desenvolvedores do Chrome restringiram o URL do campo de relatório do X-XSS-Protection à mesma origem de domínio por alguns motivos de segurança. Portanto, quando você incorpora um vídeo com algum código de incorporação, conforme ele é baixado de outro servidor onde o cabeçalho "report = https://www.google.com/ " está definido e enquanto sua página não está hospedada no google.com domínio - a mensagem de erro ocorre.

Ainda assim, todos os sites menores (incluindo youtube.com) estão enviando URL de relatório com domínios de origem diferentes. Provavelmente, eles nem estão cientes dessa mudança recente no Chrome. Portanto, o YouTube mudará seus cabeçalhos ou os desenvolvedores do Chrome reverterão isso. Não há nada que nós, como usuários finais, possamos fazer. Espere até eles resolverem isso.

ATUALIZAR:

O problema foi corrigido em Version 66.0.3359.117 (Official Build) (64-bit)

Maksim Volkov
fonte

23

Ainda visível no Chrome 66.0.3350.0 (versão oficial) canário (64 bits)

Ben Racicot

5

Parece corrigido no Chrome 67.0.3381.0 (versão oficial) canário (64 bits)

Honsa Stunna

2

@HonsaStunna é a versão para Mac? Tenho o Win 65.0.3325.181 mais recente (versão oficial) (64 bits) e ainda vejo este erro.

imitar

6

ainda visível em cromados também.

Manjunath Reddy

2

O problema foi corrigido em bugs.chromium.org, ainda visível no Chrome 65 (estável), mas desapareceu no Chrome 68 (Canário)

Answer 3

23