本文探讨了在IFrame中引用跨域站点页面时遇到的Session失效问题,尝试了包括设置相同域名、修改Cookie域以及添加P3P头等解决方案。最终在复杂方案的基础上,通过添加特定Filter并设置P3P头成功解决了问题。
问题场景:
在一个应用(集团门户)的某个page中, 通过IFrame的方式嵌入另一个应用(集团运营监控系统)的某个页面. 当两个应用的domain 不一样时, 在被嵌入的页面中Session失效。(session基于cookie实现,引用页不允许使用cookie).
问题分析:
IE6/IE7从安全性角度考虑,支持的P3P(Platform for Privacy Preferences Project (P3P) specification)协议默认阻止第三方无隐私安全声明的cookie,Firefox目前还不支持P3P安全特性,firefox中自然也不存在此问题了。
在一个应用(集团门户)的某个page中, 通过IFrame的方式嵌入另一个应用(集团运营监控系统)的某个页面. 当两个应用的domain 不一样时, 在被嵌入的页面中Session失效。(session基于cookie实现,引用页不允许使用cookie).
问题分析:
IE6/IE7从安全性角度考虑,支持的P3P(Platform for Privacy Preferences Project (P3P) specification)协议默认阻止第三方无隐私安全声明的cookie,Firefox目前还不支持P3P安全特性,firefox中自然也不存在此问题了。
解决方案:
在网上找到有很多的方案,不过可能跟不同的环境有关系,我试了好几种都没有解决。其中比较可行的几种如下:
1、应用的domain修改
简单方案: 两个应用使用同一个domain
复杂方案: 可以在iframe加载的页面里通过setdomain来强制更改(cookie.setDomain(".jszx.com"))
在被嵌入页面page_onload里添加一语句:Response.AddHeader("P3P","CP=CAO PSA OUR");
不过这几种方法都试过了,还是没有好用。后来,在方法2的基础上,我添加了一个Filter,在里面也增加这个声明Response.AddHeader("P3P","CP=CAO PSA OUR")。一试好用了。
扫一扫
669
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
