Chrome Developer Console lance X-XSS-Protection d'erreur lors de l'incorporation de lien youtube

Je suis en utilisant google Chrome Version 31.0.1650.63 m.

Récemment, j'ai remarqué quelques erreurs de se jeter dans le Chrome developer console, mais rien ne semble mal avec mon site. Après enquête, ils semblent être liées à un intégré le lien youtube. Le balisage en question est comme suit:

<iframe width="560" height="315" src="http://www.youtube.com/embed/hhhrWFxWQRk" frameborder="0" allowfullscreen></iframe>

La vidéo elle-même n'est pas pertinent (j'ai juste attrapé le premier que j'ai vu sur ses youtubes première page comme un test), mais j'ai inclus le lien que j'utilise ici dans le cas où quelque chose de très spécifique qui se passe.

Les en-têtes de réponse de la requête faite en Chrome sont comme suit:

Alternate-Protocol:80:quic
Cache-Control:no-cache
Content-Encoding:gzip
Content-Length:2560
Content-Type:text/html; charset=utf-8
Date:Sun, 12 Jan 2014 20:35:54 GMT
Expires:Tue, 27 Apr 1971 19:44:06 EST
Server:gwiseguy/2.0
X-Content-Type-Options:nosniff
X-Frame-Options:ALLOWALL
X-XSS-Protection:1; mode=block; report=https://www.google.com/appserve/security-bugs/log/youtube

Et les erreurs que je reçois dans le Chrome developer console sont comme suit:

Invalid 'X-Frame-Options' header encountered when loading 'http://www.youtube.com/embed/hhhrWFxWQRk': 'sil' is not a recognized directive. The header will be ignored.
Error parsing header X-XSS-Protection: sil: expected 0 or 1 at character position 0. The default protections will be applied.

En grosses lettres rouges. La première chose que je remarque c'est que les erreurs à la fois référence à la valeur de "sil", je ne vois pas dans les en-têtes de réponse pour les requêtes HTTP.

La vidéo affiche et joue très bien, et les erreurs de dire que les paramètres par défaut seront utilisés - si cela ne ressemble pas à un problème. Cependant, je suis désireux de comprendre ce qui se passe, et pourquoi ces erreurs se produisent.

Je remarque que les erreurs concernent XSS, et d'après mes recherches, je pense que le X-XSS-Protection de l'en-tête est pour IE8 seulement, et la valeur retournée à partir de YouTube n'est pas valide (rapport= et al). Le X-Frame-Options d'en-tête de la valeur semble être non valide selon le cahier des charges, mais Wikipedia (je sais!) les références de la ALLOWALL option:

En outre, certains sites de publicité de retour d'un non-standard
ALLOWALL valeur avec l'intention de permettre l'élaboration de leur contenu
toute la page (l'équivalent de ne pas établir de X-Frame-Options).[31]

Est-ce une préoccupation valable? Est-ce un Chrome erreur d'analyse, un problème avec youtube, en-têtes, ou suis-je complètement à côté du sujet?

J'ai également fait quelques tests dans Firefox, v26, c'est à dire 11.0.6600.16476, et Opera 12.16, et aucun de ces navigateurs produire cette erreur.

La même chose avec 41.0.2272.118 est donc clairement quelque chose d'autre.

OriginalL'auteur Spikeh | 2014-01-12

  1. 4

    Ressemble à ce qui avait un problème avec cette version de Chrome - maintenant, Chrome a mis à jour v32, je n'ai plus ce problème. Je suis, cependant, obtenir une charge plus les avertissements et les erreurs liées lien vers YouTube.

    Cela a commencé à se produire de nouveau dans 32.0.1700.76 m 🙁
    La même chose avec 41.0.2272.118 est donc clairement quelque chose d'autre.
    même problème avec la version 51
    Même avec la version 64
    Moi aussi avec la Version 64.0.3282.140

    OriginalL'auteur Spikeh