Pourquoi cette erreur dans le dev de la console de chrome lors de l'utilisation de x-xss-protection?

Comment corriger cette erreur dans la console?

Error parsing header X-XSS-Protection: 1; mode=block, 1;
mode=block:expected semicolon at character position 14.
The default protections will be applied.
InformationsquelleAutor Vamsi Krishna | 2016-03-31
  1. 38

    Si le message d'erreur est affiché même vous envoyer le bon en-tête, vérifiez si vous envoyer l'en-tête peut-être deux fois. Cela est illustré dans l'erreur de la console en dessous de réseau et que vous cliquez sur n'importe quel fichier.

    L'envoi de l'en-tête deux fois peut se produire si le serveur 

    add_header X-XSS-Protection "1; mode=block";

    est noté dans deux différents inclure des fichiers ou un include de fichier est inclus deux fois.
    Les navigateurs, ou au moins de chrome est la concaténation des deux en-têtes puis à l'interne et de l'appliqué MAL règle est alors, comme indiqué dans la question:

    X-XSS-Protection: "1; mode=block, 1; mode=block"
    • et ce fut la réponse pour moi, j'ai ajouté dans mon .htaccess, et j'ai également une ligne dans mon code php header( x-xss-Protection); , iremove la ligne de php, Merci @david
    • Exactement le problème pour moi. également résolu Mozilla Observatoire de la non détection de l'en-tête. En particulier le toujours mot clé dans cette conf apache ligne Header always set X-Content-Type-Options "nosniff"
    • est certainement l'ajout d'en-têtes de deux fois. Une fois via nginx & deuxième temps par l'intermédiaire d'exprimer casque. Retiré express casque de régler les en-têtes et tout a été résolu. Merci pour le pointeur!
    InformationsquelleAutor David
  2. 6

    J'ai eu le même message d'erreur dans google Chrome. J'ai été l'ajout de l'en-tête pour plusieurs sites.

    Au lieu de cela, vous devez l'ajouter à la http bloc si vous utilisez NGINX:

    http {
    add_header X-XSS-Protection "1; mode=block";

    ...
}
    • Cela n'aide pas. Il en résulte la même erreur.
    InformationsquelleAutor Christopher Markieta
  3. 2

    Si vous utilisez Akamai utilisation "modifier" au lieu de "ajouter" dans votre configuration. Assurez-vous que vous avez sélectionné l'option "éviter de dupliquer les en-têtes", qui est disponible uniquement dans "modifier" modus.

    InformationsquelleAutor Gianni C
  4. 2

    J'ai eu ce message d'erreur quand je suis le proxy d'un Panneau de service par le biais de NGINX. À la fois le Panneau de service et de NGINX ajoute l'en-tête, donc j'ai besoin de la déduplication. J'ai finalement sorti avec ceci:

    map $upstream_http_x_xss_protection $xss_p {
    '' '1; mode=block';
}
add_header X-XSS-Protection $xss_p always;

    J'appelle ce “pauvre homme set_header”. Grâce à la grande astuce de David et kolbyjack.

    InformationsquelleAutor Franklin Yu
  5. 1

    Vous n'êtes pas en suivant la syntaxe de X-XSS-Protection, de sorte que vous obtenez une erreur d'analyse.

    Je pense que vous êtes à la recherche pour cette:

    X-XSS-Protection: 1; mode=block

    Donc, supprimer le , 1 à la fin de la vôtre

    • C'est le code d'erreur, la syntaxe correcte: add_header X-XSS-Protection: "1; mode=block"; en est la cause.
    InformationsquelleAutor SBurris
  6. 1

    Si vous faites affaire avec un équilibreur de charge, ne pas mettre le des en-têtes supplémentaires sur le programme d'équilibrage de charge. Les en-têtes seront remplis et transmis à partir des serveurs par le biais de l'équilibreur de charge. De le mettre sur les deux causes dupliquer les en-têtes et les causes de cette erreur.

    InformationsquelleAutor rtaft