Я использую Chrome версии 31.0.1650.63 м.
В последнее время я заметил несколько ошибок, возникающих на консоли разработчика Chrome, но на моем сайте ничего не получается. При исследовании они, похоже, связаны со встроенной ссылкой на YouTube. Разметка, о которой идет речь, выглядит следующим образом:
<iframe width="560" height="315" src="http://www.youtube.com/embed/hhhrWFxWQRk" frameborder="0" allowfullscreen></iframe>
Видео само по себе не имеет значения (я только что захватил первый, который я видел на первой странице youtubes в качестве теста), но я включил ссылку, которую я использую здесь, если произойдет что-то очень специфическое.
Заголовки ответа из запроса, сделанного в Chrome, выглядят следующим образом:
Alternate-Protocol:80:quic
Cache-Control:no-cache
Content-Encoding:gzip
Content-Length:2560
Content-Type:text/html; charset=utf-8
Date:Sun, 12 Jan 2014 20:35:54 GMT
Expires:Tue, 27 Apr 1971 19:44:06 EST
Server:gwiseguy/2.0
X-Content-Type-Options:nosniff
X-Frame-Options:ALLOWALL
X-XSS-Protection:1; mode=block; report=https://www.google.com/appserve/security-bugs/log/youtube
И ошибки, которые я получаю в консоли разработчика Chrome, выглядят следующим образом:
Invalid 'X-Frame-Options' header encountered when loading 'http://www.youtube.com/embed/hhhrWFxWQRk': 'sil' is not a recognized directive. The header will be ignored.
Error parsing header X-XSS-Protection: sil: expected 0 or 1 at character position 0. The default protections will be applied.
В больших красных буквах. Первое, что я заметил, это то, что ошибки ссылаются на значение "sil", которое я не вижу ни в одном из заголовков ответов для HTTP-запроса.
Видео отображается и воспроизводится нормально, а ошибки говорят о том, что будут использоваться настройки по умолчанию - так что это не похоже на проблему. Тем не менее, я очень хочу понять, что происходит, и почему эти ошибки происходят.
Я заметил, что ошибки относятся к XSS, и из моих исследований я думаю, что заголовок X-XSS-Protection предназначен только для IE8, а возвращаемое значение из YouTube недействителен (отчет = и др.). Значение заголовка X-Frame-Options похоже недействительно в соответствии со спецификацией, но Wikipedia (я знаю!) ссылается на опцию ALLOWALL:
В дополнение к этому некоторые рекламные сайты возвращают нестандартные ALLOWALL с намерением разрешить создание своего контента на любая страница (эквивалент вообще не устанавливать X-Frame-Options). [31]
Является ли это действительной проблемой? Является ли это ошибкой разбора Chrome, проблемой с заголовками youtube, или я полностью теряю точку?
Я также провел некоторое тестирование в Firefox v26, IE 11.0.6600.16476 и Opera 12.16, и ни один из этих браузеров не произвел эту ошибку.