Directiva de política de seguridad de contenido no reconocida

Question

Me di cuenta después de actualizar a Google Chrome (21.0.1180.89) Recibo un montón de errores en la pestaña del desarrollador; especialmente si visito mi propio sitio phpMyAdmin.

Existen todos los mismos y son un tipo de seguridad contra Cross-Site Scripting; ¿hay algo que pueda hacer para resolver?

Unrecognized Content-Security-Policy directive 'allow'. 
Unrecognized Content-Security-Policy directive 'options'. 

Answer 1

Los allow y options directivas son ambos parte de la definición original de Mozilla de la Política de Seguridad contenido. Chrome implementa el current W3C standard, que ha realizado varios cambios desde la propuesta original de Mozilla.

• allow se ha sustituido por default-src, y establece una lista de fuentes por defecto para las demás directivas de CSP.
• options ha sido reemplazado con 'unsafe-inline' y 'unsafe-eval' (con las comillas simples) en las directivas script-src o style-src.

Ambas directivas antiguas todavía funcionan en Firefox, utilizando el encabezado X-Content-Security-Policy. Si un sitio web ofrece un encabezado prefijado WebKit (X-WebKit-CSP), debe usar el estándar actual.

Tenga en cuenta que WebKit ha implementado el encabezado no prefijado (Content-Security-Policy) en el tronco, y debería extenderse a navegadores basados ​​en WebKit estables durante los próximos meses. Si aún no está configurando el encabezado canónico, ahora es un buen momento para empezar a pensar en ello. :)

Answer 2

Recibí un error similar en Chrome v 48.0.2564.116 m "Directiva no reconocida de contenido-Directiva de seguridad 'frame-ancestros'." Pero funciona absolutamente bien en IE 11, FF y safari.

Este es solo un mensaje de advertencia en chrome y no afecta la funcionalidad del sitio.