P3P头的副作用

最新推荐文章于 2023-03-02 15:52:41 发布
原创 最新推荐文章于 2023-03-02 15:52:41 发布 · 713 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全

P3PHeader是W3C制定的隐私标准,用于跨域访问控制,如广告页面。它影响浏览器对第三方Cookie的拦截,可能削弱对CSRF攻击的防御。IE和Safari等浏览器默认拦截第三方Cookie,但P3PHeader可改变此行为。

P3P Header是W3C制定的一项关于隐私的标准,全称The Platform for Privacy Preferences

主要应用

主要用于类似广告等需要跨域访问的页面。

P3P引发的安全问题

  • 本来一些浏览器(如IE,Safari)是拦截第三方Cookie发送的,一定程度上降低了CSRF的威力。
  • 但是如果网站返回给浏览器的HTTP头中包含有P3P头,则在某种程度上来说,将允许浏览器发送第三方Cookie,即使是IE下的<iframe> <script>标签。
  • P3P头设置之后,对于Cookie的影响将扩大到整个域中的所有页面,因为Cookie是以域和path位单位的,这并不符合“最小权限”原则。
  • P3P头目前应用广泛,所以不能依赖于浏览器对Cookie的拦截策略,在防御CSRF的时候不能心存侥幸
C++ STL源码剖析——P1、P2、P3、P4、P5、P6、P7
mabaizi的博客
02-01 468
不想写摘要
操作系统——P/V操作例题
m0_73181229的博客
07-01 777
操作系统一些常见的pv操作场景及其操作流程
P3P的那些事
qq_45434762的博客
03-01 1066
什么是P3PP3P(The Platform forPrivacy Prefrences Project)是一种被称为个人隐私安全平台项目的标准,能够保护在线隐私权,使Internet冲...
jsp中设置http的P3P实现跨域设置cookie
zdy19900811的专栏
11-09 1174
 将这段代码放在jsp部即可:
p3p http header java,P3P Header解决Cookie跨域的问题
weixin_30909805的博客
03-12 402
P3PP3P是一種被稱為個人隱私安全平臺項目(the Platform for Privary Preferences)的標準,能夠保護在線隱私權,使Internet衝浪者可以選擇在瀏覽網頁時,是否被第三方收集並利用自己的個人信息。如果一個站點不遵守P3P標準的話,那麼有關它的Cookies將被自動拒絕,並且P3P還能夠自動識破多種Cookies的嵌入方式。P3P是由全球資訊聯盟網所開發的。例子當...
P3P Header解决Cookie跨域的问题
01-21
P3P   P3P是一種被稱為個人隱私安全平臺項目(the Platform for Privary Preferences)的標準,能夠保護在線隱私權,使Internet衝浪者可以選擇在瀏覽網頁時,是否被第三方收集並利用自己的個人信息。如果一個站點不遵守P3P標準的話,那麼有關它的Cookies將被自動拒絕,並且P3P還能夠自動識破多種Cookies的嵌入方式。P3P是由全球資訊聯盟網所開發的。 例子   當頁面存在iframe時,想要獲取iframe框架裏面的cookie,就要在iframe相應的動態頁面裏面添加P3P Header信息,否則在IE下獲取不到。因為IE有安全策略,限制頁面不
java p3p header_用P3P header解决iframe跨域访问cookie(转)
weixin_36382907的博客
02-13 439
Asp.net cookie跨域解决方法,一下午烦死了,终于找到解决方法了谢谢这位大牛,收下了目前在整合几个应用时,遇到了iframe无法获取cookie(session)的问题,经过google,终于把这个问题解决了,现在记录一下。我的需求是这样的。有一个应用是用.net开发的,主要是控制用户登录,用户访问权限的,部署在上海机房。现在就叫A应用吧还有一个应用是用java开发,主要是具体业务的操作...
GCC属性扩展__attribute__((packed))的使用与3大隐藏副作用
GCC属性扩展__attribute__((packed))的基本概念与作用 `__attribute__((packed))` 是 GCC 提供的一种结构体布局优化扩展,用于强制编译器取消结构体成员间的内存对齐填充。在默认情况下,编译器会根据目标平台的...
P3M1 |= 0x03较P3M1 =0x03的好处
最新发布
05-09
- **优先使用位操作**(`|=`、`&=`):在动态修改寄存器时避免副作用,如引用[4]中通过宏定义增强可读性。 - **仅在初始化或明确需要覆盖时使用赋值**(`=`):如引用[1]中统一配置准双向模式。 --- ### 相关问题...
MCS-51单片机P0口扩展技术研究
02-19
其中,P2.7决定了74HC244的地址,0000H-7FFFH(共32K)地址都可以访问这个单元,这就是用线选法所带来的副作用。通常可选择其中的最高地址作为这个芯片的地址来写程序,如这个芯片的地址是7FFFH。但这仅仅是一种习惯...
p3p php 单点登录,p3p header在单点登录的cookie跨域中的应用
weixin_30767365的博客
03-27 244
场景一:A网站全站均为UTF-8编码,B网站全站为GB2312编码。A网站提供一段JS代码供B网站调用,该代码会动态生成一个FORM表单,以收集提交上来的数据。B网站此时开始提交数据,但提交上来的中文均为乱码 。现象的产生是由于二个网站编码不一致而导致的,一般情况下使二个网站的编码一致即可。如果无法统一编码该怎么办?FORM有一个accept-charset属性...测试成功,但在IE下不成功,需...
PHP利用P3P实现跨域
热门推荐
JJmaiz-麦嘉俊-Concentrate on Web
09-24 1万+
有别于JS跨域、IFRAME跨域等的常用处理办法,还可以利用P3P来实现跨域。 P3P是什么 P3P(Platform for Privacy Preferences)是W3C公布的一项隐私保护推荐标准,以为用户提供隐私保护。 P3P标准的构想是:Web 站点的隐私策略应该告之访问者该站点所收集的信息类型、信息将提供给哪些人、信息将被保留多少时间及其使用信息的方式,如站点应做诸如
p3p协议是什么
php_younger的博客
10-09 1885
1、简介 P3P是万维网联盟(W3C)公布的一项隐私保护推荐标准,旨在为网上冲浪的Internet用户提供隐私保护。现在有越来越多的网站在消费者访问时,都会收集一些用户信息。制定P3P标准的出发点就是为了减轻消费者因网站收集个人信息所引发的对于隐私权可能受到侵犯的忧虑。P3P标准的构想是:Web 站点的隐私策略应该告之访问者该站点所收集的信息类型、信息将提供给哪些人、信息将被保留多少时间
通过设置p3p来实现跨域访问cookie
tianwen_1979的专栏
05-23 655
今天在w3网站上看到了一篇介绍p3p的文章(http://www.w3.org/TR/P3P/),利用这个可以实现跨域访问cookie,我也试验一下。其实很简单:试验用了2个域名readlog.cn和diaor.com首先在readlog.cn下放置一个文件setcookie.php 内容: PHP代码 header(P3P: CP="CAO DSP COR CUR ADM DEV
[转] Opencv 3.4 的solvepnp中的P3P与EPnp位姿估计算法解析
sroman的博客
03-02 2627
https://www.cnblogs.com/shang-slam/p/6481344.html
P3P Header解決Cookie跨域問題
weixin_30500473的博客
03-12 141
P3P   P3P是一種被稱為個人隱私安全平臺項目(thePlatformforPrivaryPreferences)的標準,能夠保護在線隱私權,使Internet衝浪者可以選擇在瀏覽網頁時,是否被第三方收集並利用自己的個人信息。如果一個站點不遵守P3P標準的話,那麼有關它的Cookies將被自動拒絕,並且P3P還能夠自動識破多種Cookies的嵌入方式。P3P是由全球資訊聯盟網所開發的...
CP="CAO PSA OUR" 用P3P header解决iframe跨域访问cookie
知识积淀
09-26 6119
1、IE浏览器iframe跨域丢失Session问题 在开发中,我们经常会遇到使用Frame来工作,而且有时是为了跟其他网站集成,应用到多域的情况下,而Iframe是不能保存Session的因此,网上可以找到很多相关的文章,如果网站可以采用设置Web.Config中的配置: mode=”StateServer”  stateConnectionString=”tcpip=127.0.0.1
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值