跨域SESSION的问题

最新推荐文章于 2022-03-01 11:17:48 发布
原创 最新推荐文章于 2022-03-01 11:17:48 发布 · 3.5k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#session #iis #iframe #javascript #asp.net #服务器

本文探讨了IE浏览器跨域访问Cookie存在的问题及其解决方案。详细介绍了通过修改P3P策略来避免Session丢失的方法,并提供了在不同场景下实施的建议。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

IE不允许跨域访问cookie(好象firefox没问题,ie自6.0以后改用w3c组织的P3P协议了.p3p是微软的隐私策略,通常情况下跨域iframe或者frameset默认采用的隐私策略为“中”,该级别的策略拒绝保留session。CAO PSA OUR则意味着你同意跨域保留session,但是也意味着你的网站不再安全。).

 

在开发中,我们经常会遇到使用Frame来工作,而且有时是为了跟其他网站集成,应用到多域的情况下,而Iframe是不能保存Session的因此,网上可以找到很多相关的文章,如果网站可以采用设置Web.Config中的配置: mode="StateServer"
stateConnectionString="tcpip=127.0.0.1:42424"
sqlConnectionString="data source=127.0.0.1;Trusted_Connection=yes"
cookieless="false"
timeout="40"
/>
把cookieless="false"改成"true"就可以了但也同样有个小问题,就是如果页面中采用Javascript的window.location.href=''这样的方式来重定向的话,系统会认为这是另一个新的请求,产生一个新的SessionId,导致原Session同样的丢失所以对于重定向,还是使用Response.Redirect()为好

除了Ifrmae有丢Session问题外,frameset也有同样的问题Frameset的问题更不确定,是有时会丢,有时不会丢,这更认人头痛,在网上找到了一个方法,在页面page_onload里添加一语句:
Response.AddHeader("P3P","CP=CAO PSA OUR");
FrameSet中的Session丢失问题就解决了至于里面具体的原因 也没时间去搞懂了


最简单的方法就是在iis里设置

 

解决办法

response.addHeader("P3P","CP=CAO PSA OUR")。

不过难道我们需要在每个页面都加这个么?

不需要的

如果有权配置IIS服务器

打开IIS


管理工具——〉选择一个网站——〉属性——〉http头,增加一个http头
然后输入头名:P3P
输入头内容:CP=CAO PSA OUR

如果没有权限配置IIS服务器,但是你用的是asp.net的话

可以用httpmodual来实现在全部页面或者部分页面头部插入所需要的标志

 

其中CP=“XXX XXXX”这些是有具体含义的:
     CP就是compact policies的意思,
    另外header的值也可以是policyref="http://myhost/P3P/PolicyReferences.xml",就是指定一个策略文件。

具体请看这里.

下面是摘抄的一段Compact Policies的具体取值范围和设值含义。
 Compact Policies
Compact policies are essentially summaries of P3P policies. They can be used by user agents to quickly get approximate information about P3P policies, therefore improving performance.

For an in-depth explanation of compact policies, we refer to the P3P1.0[4] specification. Here, we limit to stating the syntax:

compact-policy-field  = `CP="` compact-policy `"`

compact-policy        = compact-token *(" " compact-token)

compact-token         =  compact-access           |

                                 compact-disputes         | 

                                   compact-remedies         | 

                      compact-non-identifiable |

                       compact-purpose          | 

                         compact-recipient        | 

                       compact-retention        | 

                       compact-categories       |

                        compact-test compact-access        = "NOI" | "ALL" | "CAO" | "IDC" | "OTI" | "NON"

                        compact-disputes      = "DSP"

                        compact-remedies      = "COR" | "MON" | "LAW"

                        compact-non-identifiable = "NID"

                        compact-purpose       = "CUR"        | "ADM" [creq] | "DEV" [creq] | "TAI" [creq] |

                         "PSA" [creq] | "PSD" [creq] | "IVA" [creq] | "IVD" [creq] |

                         "CON" [creq] | "HIS" [creq] | "TEL" [creq] | "OTP" [creq]                        

                           creq                  = "a" | "i" | "o"

                        compact-recipient     = "OUR" | "DEL" [creq] | "SAM" [creq] | "UNR" [creq] |

                                                             "PUB" [creq] | "OTR" [creq]

                        compact-retention     = "NOR" | "STP" | "LEG" | "BUS" | "IND"

                        compact-category      = "PHY" | "ONL" | "UNI" | "PUR" | "FIN" | "COM" | 

                                                            "NAV" | "INT" | "DEM" | "CNT" | "STA" | "POL" |

                                                             "HEA" | "PRE" | "LOC" | "GOV" | "OTC"

                        compact-test          = "TST"

cuizh1983
关注
Session共享及SSO解决方案实战
长沙老码农
03-09 5990
目录 1、什么是Session共享 2、什么是SSO 3、Session共享简单实现 3.1 Spring Session 共享 (了解) 3.2 Nginx Session共享 3.3 Token + Redis + Cookie机制 3.4 Spring Security Oauth2 4、开源项目CAS应用 4.1 CAS简介 4.2 下载CAS Server并构建 4.3 CAS Server部署 4.4 CAS客户端项目 4.5 拓展 1、什么是Sessi.
tp5请求 VUE+tp5session问题
猪年大吉的博客
03-28 3973
找到tp5入口文件在入口文件加入以下几句即可: 代码如下: header("Access-Control-Allow-Origin:*"); header("Access-Control-Allow-Methods:GET, POST, OPTIONS, DELETE"); header("Access-Control-Allow-Headers:DNT,X-Mx-ReqToken,K...
Session共享解决方案
qq_18991813的博客
08-20 2365
一、Session 所谓session就是摒弃了系统(tomcat)提供的session,而使用自定义的类似Session的机制来保存客户端数据的一种解决方案。如:通过设置cookie的domain来实现cookie的传递。在cookie中传递一个自定义的session_id。这个session_id是客户端的唯一标记。将这个标记作为key,将客户端需要保存的数据作为value,在服务...
谈谈我的session处理方法
weixin_30832983的博客
05-15 443
情景:公司的一个网站有一个模块(测试模块)需要单独用另外的一个名(www.xyz.com)去访问,即网站需要用两个不同的名去访问,如首页(www.abc.com)和测试模块(www.xyz.com) 这时候就涉及到session问题,因为名不是父子关系,所以必须要实现完全,想到了以下三个解决办法: 1.URL传参:测试模块访问的时候,地址www.xyz.com后把主...
PHP session 问题总结
x7jntb93v9的博客
06-15 316
Session主要分两部分: 一个是Session数据,该数据默认情况下是存放在服务器的tmp文件下的,是以文件形式存在 另一个是标志着Session数据的Session Id,Session ID,就是那个 Session 文件的文件名,Session ID 是随机生成的,因此能保证唯一性和随机性,确保 Session 的安全。一般如果没有设置 Session 的生存周期,则 Session
Session
Leon_Jinhai_Sun的博客
12-28 1555
所谓Session就是摒弃了系统(Tomcat)提供的Session,而使用自定义的类似Session的机制来保存客户端数据的一种解决方案。 如:通过设置cookie的domain来实现cookie的传递。在cookie中传递一个自定义的session_id。这个session_id是客户端的唯一标记。将这个标记作为key,将客户端需要保存的数据作为value,在服务端进行保存(数据库保存或NoSQL保存)。这种机制就是Session解决。 什么: 客户端请求的时候,请求的服务器,不是同一
解决springboot实现session共享问题
01-25
本文将详细讲解如何在Spring Boot应用中解决session共享的问题,并探讨防止SQL注入的相关策略。 首先,让我们理解什么是是指由于浏览器的同源策略限制,不同名、协议或端口之间的页面无法直接通信...
vue2 前后端分离项目ajaxsession问题解决方法
08-30
总结来说,解决Vue2前后端分离项目中的AJAXSession问题,关键在于前端设置axios的`withCredentials`属性,以及后端允许并接受credentials的配置。通过这些设置,前端就能在请求中保持用户登录状态,从而...
ThinkPHP框架实现session问题的解决方法
10-25
ThinkPHP框架实现session问题的解决方法主要涉及到了两个方面:其一,是PHP自身处理session的方式,以及如何在ThinkPHP框架下解决session问题;其二,是根据服务器配置文件的有无,给出不同的解决办法,...
单点登陆之session问题
小小的祈祷的专栏
08-12 806
Session主要分两部分:    一个是Session数据,该数据默认情况下是存放在服务器的tmp文件下的,是以文件形式存在,而非存储在服务器的内存中;     另一个是标志着Session数据的Session Id,Session ID,就是那个 Session 文件的文
共享session (实现http跳转https 共享session
07-13
NULL 博文链接:https://justcoding.iteye.com/blog/747398
浅谈AjaxSession访问
10-25
主要介绍了AjaxSession访问的相关问题,以及需要注意的地方,这里推荐给大家
处理session几种方案
11-22
class Session { //mysql的主机地址 const db_host = "localhost"; //需要第三方指定ip地址 //数据库用户名 const db_user = "root"; //需要第三方指定自己的用户名 //数据库密码 const db_pwd = ""; //需要第三方指定自己的库据库密码 //数据库 const db_name = "thinkphp"; //需要第三方指定数据库 //数据库表 const db_table = "tbl_session"; //需要第三方指定数据表 //mysql-handle private $db_handle; //session-lifetime private $lifeTime; function open($savePath, $sessName) { // get session-lifetime $this--->lifeTime = get_cfg_var("session.gc_maxlifetime"); // open database-connection $db_handle = @mysql_connect(self::db_host, self::db_user, self::db_pwd); $dbSel = @mysql_select_db(self::db_name, $db_handle); // return success if(!$db_handle || !$dbSel) return false; $this->db_handle = $db_handle; return true; } function close() { $this->gc(ini_get('session.gc_maxlifetime')); // close database-connection return @mysql_close($this->db_handle); } function read($sessID) { // fetch session-data $res = @mysql_query("SELECT session_data AS d FROM ".self::db_table." WHERE session_id = '$sessID' AND session_expires > ".time(), $this->db_handle); // return data or an empty string at failure if($row = @mysql_fetch_assoc($res)) return $row['d']; return ""; } function write($sessID, $sessData) { // new session-expire-time $newExp = time() + $this->lifeTime; // is a session with this id in the database? $res = @mysql_query("SELECT * FROM ".self::db_table." WHERE session_id = '$sessID'", $this->db_handle); // if yes, if(@mysql_num_rows($res)) { // ...update session-data @mysql_query("UPDATE ".self::db_table." SET session_expires = '$newExp', session_data = '$sessData' WHERE session_id = '$sessID'", $this->db_handle); // if something happened, return true if(@mysql_affected_rows($this->db_handle)) return true; } else // if no session-data was found, { // create a new row @mysql_query("INSERT INTO ".self::db_table." ( session_id, session_expires, session_data) VALUES( '$sessID', '$newExp', '$sessData')", $this->db_handle); // if row was created, return true if(@mysql_affected_rows($this->db_handle)) return true; } // an unknown error occured return false; }
&session
sys的博客
09-24 317
说来惭愧,工作三年听过session 听过也知道解决的办法但是却没有去深入思考一下这两个东西 -今天发生一件事情 登录A项目后打开链接去B项目中做操作这种情况下同事提到了使用二级目录解决问题。当时的我想不到这与有什么联系特别说明一点项目中是用的session存储用户信息 **什么是** 比方说你有一个网站我也有一个网站连个网站的信息是不能共用是不,共用了这样岂不是泄露了自己的秘密 所以我们的浏览器中只有名,协议,端口都相同才能互相访问 他们的信息是可以共享的 为什..
干掉Session?这个认证解决方案真的优雅
沉默王二
03-01 7765
用户登录认证是 Web 应用中非常常见的一个业务,一般的流程是这样的: 客户端向服务器端发送用户名和密码 服务器端验证通过后,在当前会话(session)中保存相关数据,比如说登录时间、登录 IP 等。 服务器端向客户端返回一个 session_id,客户端将其保存在 Cookie 中。 客户端再向服务器端发起请求时,将 session_id 传回给服务器端。 服务器端拿到 session_id 后,对用户的身份进行鉴定。 单机情况下,这种模式是没有任何问题的,但对于前后端分离的 Web 应用来说,就非
两种session问题
Kaaaakaki的博客
07-23 268
226集 * 两种session问题 : * 1、 同一个名 多台服务器 原来session只存在运行的这一台上 * 如果这个请求去了另一个服务器 就拿不到session了 * 解决: 用一个统一的地方 比如 redis 来存所有服务器session * * 2. 名不同 相当于 拿着农行的卡(sessionID) 去了 工商银行(服务器) 就拿不到对应的session * 解决:发session的时候 扩大session的作用 auth.testmall.
解决session共享问题
wangchaoqi1985的博客
08-07 262
解决session共享问题
记一次Session问题
铃萌的博客
03-01 1663
背景:网站名:aa.abc.com,客户有需求,需要定制专属名,如:kehu.abc.com。 项目介绍:前后端未分离的项目,登录授权是使用的shiro做的,页面是使用JSP写的。登录成功后,会将获取到的token写入cookie,接口有拦截器处理,shiro是未登录态时,会尝试使用cookie来登录,实现单点登录。 方案:申请专属名,使用Nginx映射到网站名上;后台服务也做了处理,如果登录用户判断有专属名,则直接重定向到专属名上,否则使用网站名。逻辑很简单,流程如下,其他跳转页面的接口
session如何
天下熙熙,皆为利来;天下攘攘,皆为利往。
05-28 1332
想要共享 SESSION 数据,那就必须实现两个目标:www.a.com和i.a.com所产生的SESSION ID相同,并且可通过同一个 COOKIE 进行传递,也就是说各个服务器必须可以读取同一个名为 PHPSESSID 的 COOKIE;另一个是 SESSION 数据必须存放在一个各个系统都能访问到的地方。简单地说就是多服务器共享客户端的 SESSION ID,同时还必须共享服务器端的 SE
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值