【问题标题】:Invalid 'X-Frame-Options' header from google's Doubleclick response谷歌的 Doubleclick 响应中的“X-Frame-Options”标头无效
【发布时间】:2013-02-20 13:59:48
【问题描述】:

我们使用来自 Google 的双击来跟踪 IFrame 中带有 Floodlight 标记的用户信息,但最近响应导致 Chrome 开发工具出现错误:

加载“http://123.fls.doubleclick.net/activityi;src=123;type=123;cat=123;ord=123”时遇到无效的“X-Frame-Options”标头:“ALLOWALL”不是可识别的指令。标题将被忽略。

这是一篇关于此事的博文:http://ipsec.pl/node/1094

最近似乎添加了 ALLOWALL 以允许任何站点将代码用作 src(类似于根本不包括该选项),并且双击在其响应中包含此选项。在 IE、Firefox 和 Chrome 中,Chrome 是唯一会引发错误的浏览器。这是否意味着谷歌在双击中使用了一个在他们自己的浏览器中不起作用的选项?很难想象 Google 团队没有在 Chrome 中进行测试。

在我看来,如果标题被忽略,并且标题与 X-Frame-Options 不包括任何跨站点限制具有相同的效果,则该错误不会影响任何事情。另外,由于错误发生在响应中,因此对原始请求进行的跟踪应该没问题,对吧?

【问题讨论】:

  • 我也收到了。 Chrome 显示错误,但忽略该值(允许请求)。 Firefox 显示错误但拒绝请求。

标签: google-chrome x-frame-options


【解决方案1】:

该问题已作为错误报告提交:
Bug 110857 - X-Frame-Options should accept ALLOWALL as a valid value
和 已解决,修复在 WebKit 的主分支中,一旦 Chrome 使用最新的 WebKit 引擎,消息就会消失。

欲了解更多信息,请参阅:Webkit Changeset 144105

【讨论】:

    猜你喜欢
    • 2015-04-15
    • 2013-04-15
    • 2019-10-19
    • 2017-11-30
    • 1970-01-01
    • 2013-11-16
    • 2015-04-23
    • 1970-01-01
    • 2017-02-09
    相关资源
    最近更新 更多