security - vulnerability - x-content-type-options
¿Por qué este error en la consola dev de Chrome al usar x-xss-protection? (5)
No está siguiendo la sintaxis correcta de X-XSS-Protection, por lo que está recibiendo un error de análisis.
Creo que estas buscando esto:
X-XSS-Protection: 1; mode=block
Así que quita el , 1 al final del tuyo.
¿Cómo arreglar este error en la consola?
Error parsing header X-XSS-Protection: 1; mode=block, 1;
mode=block:expected semicolon at character position 14.
The default protections will be applied.
Si está tratando con un equilibrador de carga, no coloque encabezados adicionales en el equilibrador de carga. Los encabezados se rellenarán y pasarán de los servidores a través del equilibrador de carga. Ponerlo en ambos causa encabezados duplicados y causa este error.
Si está utilizando Akamai, use el comportamiento "modificar" en lugar de "agregar" en su configuración. Asegúrese de haber seleccionado la opción "evitar encabezados duplicados", que solo está disponible en el modo "modificar".
Tuve el mismo error en Chrome. Estaba agregando el encabezado a varios sitios.
En su lugar, debe agregarlo al bloque http si está utilizando NGINX:
http {
add_header X-XSS-Protection "1; mode=block";
...
}
Si se muestra el error aunque envíe el encabezado derecho, compruebe si envía el encabezado quizás dos veces. Esto se muestra en la consola de errores debajo de la red y usted hace clic en cualquier archivo.
Enviar el encabezado dos veces puede suceder si para el servidor
add_header X-XSS-Protection "1; mode=block";
se anota en dos archivos de inclusión diferentes o se incluye un archivo de inclusión dos veces. Los navegadores o al menos Chrome están concatenando los dos encabezados y luego internamente y la regla WRONG aplicada es, como se muestra en la pregunta:
X-XSS-Protection: "1; mode=block, 1; mode=block"