解决iframe，frame和框架丢失或获取不到session,cookies问题

最新推荐文章于 2024-04-08 14:47:03 发布

Ray_Adon

最新推荐文章于 2024-04-08 14:47:03 发布

阅读量1.3w

点赞数

分类专栏：技术心得文章标签： session iframe cookies 框架 header token

技术心得专栏收录该内容

37 篇文章

订阅专栏

解决iframe，frame和框架丢失或获取不到session,cookies问题

引用地址：

Response.clear()
Response.CacheControl = "no-cache"
Response.Expires=0
Response.AddHeader "P3P", "CP=CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"
Response.Charset = "utf-8"
1、IE浏览器iframe跨域丢失Session问题
在开发中，我们经常会遇到使用Frame来工作，而且有时是为了跟其他网站集成，应用到多域的情况下，而Iframe是不能保存Session的因此，网上可以找到很多相关的文章，如果网站可以采用设置Web.Config中的配置： mode="StateServer"
stateConnectionString="tcpip=127.0.0.1:42424"
sqlConnectionString="data source=127.0.0.1;Trusted_Connection=yes"
cookieless="false"
timeout="40"
/>
把cookieless="false"改成"true"就可以了但也同样有个小问题，就是如果页面中采用Javascript的window.location.href=''这样的方式来重定向的话，系统会认为这是另一个新的请求，产生一个新的SessionId，导致原Session同样的丢失所以对于重定向，还是使用Response.Redirect()为好

除了Ifrmae有丢Session问题外，frameset也有同样的问题Frameset的问题更不确定，是有时会丢，有时不会丢，这更认人头痛，在网上找到了一个方法，在页面page_onload里添加一语句：
Response.AddHeader("P3P","CP=CAO PSA OUR");
FrameSet中的Session丢失问题就解决了至于里面具体的原因也没时间去搞懂了

最简单的方法就是在iis里设置

解决办法
response.addHeader("P3P","CP=CAO PSA OUR")。
不过难道我们需要在每个页面都加这个么?

不需要的

如果有权配置IIS服务器

打开IIS

管理工具——〉选择一个网站——〉属性——〉http头，增加一个http头
然后输入头名：P3P
输入头内容：CP=CAO PSA OUR

如果没有权限配置IIS服务器,但是你用的是asp.net的话

可以用httpmodual来实现在全部页面或者部分页面头部插入所需要的标志

本站点的某个目录就是这样实现的

2、用P3P header解决iframe跨域访问cookie

本文来源：http://blog.youkuaiyun.com/wonder4/archive/2008/02/27/2125804.aspx

目前在整合几个应用时，遇到了iframe无法获取cookie(session)的问题，经过google，终于把这个问题解决了，现在记录一下。
   我的需求是这样的。
   有一个应用是用.net开发的，主要是控制用户登录，用户访问权限的，部署在上海机房。现在就叫A应用吧
   还有一个应用是用java开发，主要是具体业务的操作。部署在北京机房，这里叫B应用吧
   由于已经有一个用户管理和权限的应用程序，所以java 开发的这个Ｂ应用就没有开发用户权限的功能，想直接使用.net的Ａ程序。

用户访问的流程是这样的：
    1.用户先在A处登录，A设自己的cookie,在A的菜单里有去B应用的链接
    2.当用户点去Ｂ应用的链接时，Ａ在链接上自动加上这个用户的token,传给Ｂ系统
　 3.当B系统接收到请求后，把这个用户的token信息设成自己系统的cookie，（Ｂ系统里有表单post操作，如果不设cookie,session，那么每个请求不管ＧＥＴ还是ＰＯＳＴ都要明确带着该用户的token信息，对于系统的改造量比较大，另外以后换权限验证方法改动也比较大。）
　　4.用户在Ｂ系统里的每次操作都没有明码带用户的token，所以每次都要去cookie得到token信息，然后发送一个http请求去Ａ，让Ａ系统验证这个用户是否有权限访问。
    5.如果Ａ系统的接口返回可以访问的状态报告，那么Ｂ继续执行；如果Ａ系统指示没有权限访问，那么Ｂ系统提示访问受控警告信息。

　　一切开发都完成，到整合上线时，发现这个流程走不通，百思不得其解，想了半天也不知道怎么回事，google了半天，才发现原来是ie在捣鬼，IE不允许跨域访问cookie(好象firefox没问题，ie自6.0以后改用w3c组织的P3P协议了)，再看看我的应用，在第二步设的cookie，在第三步以后所有Ｂ应用的访问请求，ie都把B应用的cookie blocked掉了（因为用户的访问是从A应用发起，从A应用访问B应用的东东，算跨域访问，IE认为有安全问题）。。。。（IE状态栏有一个红眼睛的button,点开可以看到哪些cookie给blocked掉了）

     知道原因就好办了，再google知道可以用P3P header可以解决问题！
     下面是java的解决办法之一，也是我的解决办法，不过个方法不太好：
     直接往响应里加一个P3P的header
     response().addHeader("P3P", "CP=\"IDC DSP COR CURa ADMa OUR IND PHY ONL COM STA\"");

其中CP=“XXX XXXX”这些是有具体含义的：
CP就是compact policies的意思，
另外header的值也可以是policyref="http://myhost/P3P/PolicyReferences.xml",就是指定一个策略文件。

具体请看这里.

下面是摘抄的一段Compact Policies的具体取值范围和设值含义。
Compact Policies
Compact policies are essentially summaries of P3P policies. They can be used by user agents to quickly get approximate information about P3P policies, therefore improving performance.

For an in-depth explanation of compact policies, we refer to the P3P1.0[4] specification. Here, we limit to stating the syntax:

compact-policy-field = `CP="` compact-policy `"`

compact-policy = compact-token *(" " compact-token)

compact-token = compact-access |

compact-disputes |

compact-remedies |

compact-non-identifiable |

compact-purpose |

compact-recipient |

compact-retention |

compact-categories |

compact-test compact-access = "NOI" | "ALL" | "CAO" | "IDC" | "OTI" | "NON"

compact-disputes = "DSP"

compact-remedies = "COR" | "MON" | "LAW"

compact-non-identifiable = "NID"

compact-purpose = "CUR" | "ADM" [creq] | "DEV" [creq] | "TAI" [creq] |

"PSA" [creq] | "PSD" [creq] | "IVA" [creq] | "IVD" [creq] |

"CON" [creq] | "HIS" [creq] | "TEL" [creq] | "OTP" [creq]

creq = "a" | "i" | "o"

compact-recipient = "OUR" | "DEL" [creq] | "SAM" [creq] | "UNR" [creq] |

"PUB" [creq] | "OTR" [creq]

compact-retention = "NOR" | "STP" | "LEG" | "BUS" | "IND"

compact-category = "PHY" | "ONL" | "UNI" | "PUR" | "FIN" | "COM" |

"NAV" | "INT" | "DEM" | "CNT" | "STA" | "POL" |

"HEA" | "PRE" | "LOC" | "GOV" | "OTC"

compact-test = "TST"

本文来自优快云博客，转载请标明出处：http://blog.youkuaiyun.com/wonder4/archive/2008/02/27/2125804.aspx

"TST"另外这里还有一个P3P的验证工具：http://www.w3.org/P3P/validator.html，可以验证一下自己设置的P3P是否正确。这里还有一个老外写的不错的blog，也可以参考一下。http://www.sitepoint.com/article/p3p-cookies-ie6/2
[hr]
Response.AddHeader "P3P”跨域cookies，session 问题解决
场景一：

A网站全站均为UTF-8编码，B网站全站为GB2312编码。

A网站提供一段JS代码供B网站调用，该代码会动态生成一个FORM表单，以收集提交上来的数据。

B网站此时开始提交数据，但提交上来的中文均为乱码。

现象的产生是由于二个网站编码不一致而导致的，一般情况下使二个网站的编码一致即可。

如果无法统一编码该怎么办？

FORM有一个accept-charset属性

...

</form> 测试成功，但在IE下不成功，需要一个HACK来解决：
在form的onsubmit事件触发时动态改变document的编码，即：
οnsubmit="document.charset='utf-8';"

场景二：

A网站提供一个页面供其它网站进行Iframe调用，该页面使用了SESSION，并进行了SESSION判断。

现象：

B网站IFRAME了A网站的页面，总显示SESSION过期，但直接在浏览器中打开该页面却又是正常的。

这是由于浏览器的安全性所致，SESSION依赖于COOKIE，A与B是二个完全不同的域，A网站没法去读取B网站下的COOKIE，所以 SESSION也就失效了。

解决办法：

A网站的页面在输出头上附加一个P3P属性，值为CP=CAO PSA OUR即可。
如：

Response.AddHeader("P3P", "CP=CAO PSA OUR");

if (Session[SESSIONKEY] == null)

{

//TODO:其它操作

}

在IE中，页面通过FRAME，JS，IMG等引用其他域名页面的时候，P3P协议会阻止引用也的cookie。

举例说明：
在 B.COM中，

这种情况下，我们引入P3P header ，情况就改变喽~

P3P header允许跨域访问隐私数据，从而可以跨域set-cookie成功

在 www.a.com/test.php中这样写：

header(’P3P: CP=”CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR”‘);
header(’P3P: CP=”CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR”‘);

cookie就可以跨域了~

这种方法在单点登陆中被广泛应用~