提醒：本文最後更新於 1339 天前，文中所描述的資訊可能已發生改變，請謹慎使用。

通過 CSP 頭部設定「Origin When Cross-origin」策略時，指令值應該用 origin-when-cross-origin，這跟 <meta> 用的 origin-when-crossorigin 不統一。我測試了一下，Chrome 42 的 CSP 和 <meta> 都只支援 origin-when-crossorigin，不支援 origin-when-cross-origin，這樣也挺好的，只是跟文件不一致了。不知道後面是文件變還是 Chrome 變。

簡單說就是 Chrome 42 的實現和文件不一致，文件本身也不統一。對同一個東西，出現了中間有橫線和沒橫線兩種寫法。

為了把這個問題搞清楚，我給 public-webapps 郵件組發了郵件諮詢。今天收到了 Chrome 一位工程師的答覆：

好吧，沒想到理由如此簡單粗暴，居然是疏忽拼錯了。點開他的 commit 一看，果然，所有 origin-when-crossorigin 都被改成了 origin-when-cross-origin。今天晚些時候他還會把 Chrome 也改一下。

有趣的是，之前的文件只搞錯了一部分（只在 <meta> 這一節拼錯），Chrome 卻把 CSP 和 <meta>

然後有同學就在郵件組問了：

So to be absolutely clear, this means there should always be a dash between "cross" and "origin" in the referrer policy tokens, right?

那個犯錯的同學回覆是：

Yes. That was a typo in the spec.

Since Chrome already ships -crossorigin and sites already use it, we'll probably need to leave that alias in as well, though. Sorry about that. My fault. :/

一失足成千古恨，Chrome 就是這樣變臃腫的麼？23333333~

好了，這篇短文就寫到這。以後再寫寫其他有關 Web 標準協議的好玩事情。

--EOF--

發表於 2015-05-11 21:12:47 ，並被新增「 Referrer 、 Chrome 」標籤 ，最後修改於 2015-05-12 11:45:09 。檢視本文 Markdown 版本 »

提醒：本文最後更新於 1339 天前，文中所描述的資訊可能已發生改變，請謹慎使用。