Google chrome Chrome开发者控制台在嵌入youtube链接时抛出X-XSS-Protection错误_Google Chrome_Youtube_Xss_X Frame Options

Google chrome Chrome开发者控制台在嵌入youtube链接时抛出X-XSS-Protection错误

google-chrome youtube

Google chrome Chrome开发者控制台在嵌入youtube链接时抛出X-XSS-Protection错误,google-chrome,youtube,xss,x-frame-options,Google Chrome,Youtube,Xss,X Frame Options,我使用的是Chrome 31.0.1650.63 m版最近，我注意到Chrome开发者控制台中出现了一些错误，但我的网站似乎没有什么问题。经调查，他们似乎与嵌入的youtube链接有关。有关的标记如下： <iframe width="560" height="315" src="http://www.youtube.com/embed/hhhrWFxWQRk" frameborder="0" allowfullscreen></iframe> Alternate-Pr

我使用的是Chrome 31.0.1650.63 m版

最近，我注意到Chrome开发者控制台中出现了一些错误，但我的网站似乎没有什么问题。经调查，他们似乎与嵌入的youtube链接有关。有关的标记如下：

<iframe width="560" height="315" src="http://www.youtube.com/embed/hhhrWFxWQRk" frameborder="0" allowfullscreen></iframe>

Alternate-Protocol:80:quic
Cache-Control:no-cache
Content-Encoding:gzip
Content-Length:2560
Content-Type:text/html; charset=utf-8
Date:Sun, 12 Jan 2014 20:35:54 GMT
Expires:Tue, 27 Apr 1971 19:44:06 EST
Server:gwiseguy/2.0
X-Content-Type-Options:nosniff
X-Frame-Options:ALLOWALL
X-XSS-Protection:1; mode=block; report=https://www.google.com/appserve/security-bugs/log/youtube

Invalid 'X-Frame-Options' header encountered when loading 'http://www.youtube.com/embed/hhhrWFxWQRk': 'sil' is not a recognized directive. The header will be ignored.
Error parsing header X-XSS-Protection: sil: expected 0 or 1 at character position 0. The default protections will be applied.

我在Chrome开发者控制台中遇到的错误如下：

<iframe width="560" height="315" src="http://www.youtube.com/embed/hhhrWFxWQRk" frameborder="0" allowfullscreen></iframe>

Alternate-Protocol:80:quic
Cache-Control:no-cache
Content-Encoding:gzip
Content-Length:2560
Content-Type:text/html; charset=utf-8
Date:Sun, 12 Jan 2014 20:35:54 GMT
Expires:Tue, 27 Apr 1971 19:44:06 EST
Server:gwiseguy/2.0
X-Content-Type-Options:nosniff
X-Frame-Options:ALLOWALL
X-XSS-Protection:1; mode=block; report=https://www.google.com/appserve/security-bugs/log/youtube

Invalid 'X-Frame-Options' header encountered when loading 'http://www.youtube.com/embed/hhhrWFxWQRk': 'sil' is not a recognized directive. The header will be ignored.
Error parsing header X-XSS-Protection: sil: expected 0 or 1 at character position 0. The default protections will be applied.

用大红字写。我注意到的第一件事是错误都引用了值“sil”，我在HTTP请求的任何响应头中都没有看到这个值

视频显示和播放良好，错误显示将使用默认设置-因此这看起来不是问题。然而，我很想了解发生了什么，以及为什么会发生这些错误

我注意到错误与XSS有关，根据我的研究，我认为从YouTube返回的值是无效的（report=et al）。X-Frame-Options标题的值似乎符合规范，但（我知道！）引用了ALLOWALL选项：

除此之外，一些广告网站还退回非标准的广告 ALLOWALL值，目的是允许在任何页面（相当于根本不设置X帧选项）。[31]

这是一个合理的担忧吗？这是一个Chrome解析错误，youtube的标题问题，还是我完全没有抓住要点

我也在Firefox v26、IE 11.0.6600.16476和Opera 12.16中做了一些测试，这些浏览器都没有产生这个错误。

看起来这是特定版本的Chrome的问题-现在Chrome已经更新到v32，我不再遇到这个问题。然而，我收到了大量与链接到YouTube相关的警告和错误。

这在32.0.1700.76 m中再次发生：（与41.0.2272.118相同，显然是另外一回事。与51版相同，与64.0.3282.140相同，与64.0.2272.118相同，显然是另外一回事。