使用 P3P 规范让 IE 跨域接受第三方 cookie

最新推荐文章于 2019-06-24 22:58:18 发布
最新推荐文章于 2019-06-24 22:58:18 发布
阅读量717 收藏 1
点赞数
分类专栏: cookie
本文探讨了在IE浏览器下设置第三方cookie遇到的问题及解决方案,包括调整IE设置、部署P3P规范以及通过HTTP header等方式,重点解决了单点登录(SSO)场景中IE无法接收cookie的问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前两天尝试使用 jsonp 跨域提交用户名密码请求,实现自动登录第三方网站,即 SSO(single-sign-on) 单点登录,一处登录处处登录。在 Firefox下没问题,IE 却不行。查看 HTTP 的几个来回,发现登录请求是成功的,问题出在第三方网站返回的 cookie (session id) IE 并没有接受,下一次发送请求时根本没有带上 cookie,说明之前的 Set-Cookie 指令没有效果,所以怎么也登录不了。查了一下,有人使用 iframe 内嵌网页的形式,也遇到了 IE 下不能设置 cookie 的情况。

如果在“Internet选项”->“隐私”->“高级”中把“替代Cookie自动处理”勾选上(这是IE9的设置,版本低的IE需要把隐身级别设置为低,就没问题了。但是我们不可能让每个用户去更改 IE 设定吧?这是一个很常遇到的场景,肯定有别的解决办法。

浏览器的第三方 cookie 限制

所谓第三方 cookie,就是说你访问网页 A,却接收到域名 B 的 cookie 设定指令。这可能是由于网页 A 请求或链接了 B 的网页,比如上面提到的 iframe 以及 jsonp。

我查到了各个浏览器对于跨域的处理规则,可以看到第三方 cookie ,IE 在默认设置中是做了限制的。

不同浏览器的第三方 cookie 规则
 

IE

FireFox

Chrome

Safari

Opera

限制第三方coookie

要解决这个问题,有 2 种方法,一个就是上面说到的调整 IE 设置,将第三方域名加入到可信网站列表中;另一个方法,就是 P3P 了。

P3P?

P3P 全称 Platform for Privacy Preferences,隐私设定平台规范。这个规范极其复杂,若要讲清楚,天都黑了一半。简言之,就是网站向浏览器声明自己的隐私政策,比如网站是否搜集访问者的个人信息,设置 cookie 的用途等等。浏览器会依据设置,决定在第三方请求的条件下是否接受网站的 cookie。

完整地部署 P3P 包括设立隐私政策文件(policy.html)、原则档(policy.xml)、参考档(p3p.xml),有兴趣详细了解的可以参考 MSDN 中关于部署 P3P的文章。

这搞得太复杂了,我只是想在公司内部做各个管理系统的单点登录而已。好在还是有比较简单的方法的,就是发送 P3P 相关的 HTTP header。

ASP.NET:

HttpContext.Current.Response.AddHeader("p3p", "CP=\"IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT\"");

PHP:

header('P3P:CP="IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT"');

JSP:

response.setHeader("P3P","CP='IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT'");

好吧,这些 IDC DSP 什么的是啥意思啊?

这些标签就是 P3P 所规定的了,例如 NOI 表示不搜集可识别用户的资料,ADM 表示信息搜集会用于网站管理……

浏览器会根据这些标签决定是否接受 cookie,根据测试结果,加上 NOI 最省事,一个就够了。不过网站一般很难做到 NOI,除非永远匿名,“登录”功能可能就违背了NOI。理论上讲,标签应该真实地反映网站的信息搜集行为,若声明的隐私政策与实际行为不符,是会要负法律责任的。Stackoverflow 有篇讨论提出了法律相关议题,可以参考。

除了传送 P3P http header,还可以通过 HTML meta 标签,或者 设定 IIS 服务器 来声明 P3P。

参考链接:http://www.lovelucy.info/ie-accept-third-party-cookie.html

PS:查看好几篇类似JSP中使用P3P解决跨域的方法,发现P3P的值不太一样,但在IE9下都是正确的,在此记录一下

response.setHeader("P3P","CP='IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT'");
response.setHeader("P3P","CP=\"NON DSP COR CURa ADMa DEVa TAIa PSAa PSDa IVAa IVDa CONa HISa TELa OTPa OUR UNRa IND UNI COM NAV INT DEM CNT PRE LOC\"");
response.setHeader("P3P","CP=CAO PSA OUR");
response.setHeader("P3P","CP='CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR'");


P3P Header解决Cookie的问题
01-21
 P3P是一種被稱為個人隱私安全平臺項目(the Platform for Privary Preferences)的標準,能夠保護在線隱私權,使Internet衝浪者可以選擇在瀏覽網頁時,是否被第三方收集並利用自己的個人信息。如果一個站點不遵守...
iframe与session失效问题的解决办法
01-21
第三方session/cookie指的是当前访问的网站中会加载(嵌入)另外第三方的网站代码,例如促销广告,那么第三方网 站也会在访客的计算机上添加session/cookie,这种就是第三方session/cookie。 我的问题 在开发讯息...
P3P 隐私设定平台规范(整合)
weixin_34259232的博客
02-19 220
2019独角兽企业重金招聘Python工程师标准>>> ...
p3p操作cookie
小果果
11-06 578
首先在readlog.cn下放置一个文件setcookie.php 内容:   PHP代码      header('P3P: CP="CAO DSP COR CUR ADM DEV TAI PSA PSD IVAi IVDi CONi TELo OTPi OUR DELi SAMi OTRi UNRi PUBi IND PHY ONL UNI PUR FIN COM NAV IN
IE iframe cookie问题(p3p)
weixin_34259232的博客
03-14 224
2019独角兽企业重金招聘Python工程师标准>>> ...
ASP.NET Tip: How to Implement P3P HTTP Headers
weixin_34315189的博客
02-07 120
The ProblemQ: Why "make sure to implement P3P if using iframes" ?   A: If your application is inside iframe with parent belongs to another domain - cookies will not work for some very common configu...
关于Iframe如何访问Cookie和Session的解决方法
10-27
这样,当Iframe加载admin.php时,浏览器会接受P3P头,允许在不同之间设置和读取Cookie,从而实现登录。 至于Session,虽然它看起来与Cookie不同,但它们在很多情况下密切相关。Session通常依赖于Cookie来存储...
PHP利用P3P实现
热门推荐
JJmaiz-麦嘉俊-Concentrate on Web
09-24 1万+
有别于JS、IFRAME等的常用处理办法,还可以利用P3P来实现。 P3P是什么 P3P(Platform for Privacy Preferences)是W3C公布的一项隐私保护推荐标准,以为用户提供隐私保护。 P3P标准的构想是:Web 站点的隐私策略应该告之访问者该站点所收集的信息类型、信息将提供给哪些人、信息将被保留多少时间及其使用信息的方式,如站点应做诸如
P3P设置第三方cookie解决方案
weixin_34355559的博客
06-24 674
原文地址:http://blog.youkuaiyun.com/lovingprince/article/details/5984449 首先,什么是P3P(Platform for Privacy Preferences),其实就是一种可以提供个人隐私保护策略的平台协议。网上去去找,说得更清楚,我就不罗嗦了,我只举个实际例子让大家有个认识。 例如first.abc.com这...
p3p 实现的时候涉及到cookies的问题
lorinzhang
04-03 1427
首先确认目的:这里操作 cookies并不是  一个A 网站直接操作任意B网站的cookies。如果允许这么干那么天下大乱了,如果不甚了解请去google 那么这次的实验情景 情景: 有www.a.com ,www.b.com 两个网站,    www.b.com有个开放给第三方系统登陆即接受第三方系统传过来的用户参数的登陆页面,但是这里登陆成功后的标识是写cookies的,为了模拟 我在
P3P_浏览器cookie_iframe
fantaxy025025的专栏
08-31 181
P3P_浏览器cookie_iframe   且说我使用有些网络服务的时候常常能遇到比较怪异的问题。昨天在某个页面遇到个Redirect Loop 错误提示: Firefox has detected that the server is redirecting the request for this address in a way that will never complete. ...
在IFrame中通过P3Pheader来启用Cookies
为梦想奋斗
07-15 938
<br />在IFrame中嵌入的网页如果和父窗口不是同一,则Cookies会被IE阻止,<br />解决办法是在页面中加入P3P的header,如下PHP示例<br /> <br /> <br />header("P3P: CP=CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR");<br /> 
P3P技术
xieronghua246的博客
06-08 361
P3P技术用来解决隐私问题,常见问题就是iframe写入cookies 首先我们需要一个p3p.xml &lt;META xmlns="http://www.w3.org/2000/12/P3Pv1"&gt;   &lt;POLICY-REFERENCES&gt;    &lt;POLICY-REF about="/w3c/vodone.xml"&gt;       &lt;INCLU...
P3P header让set-cookie成为现实
仲伟涛学习笔记
04-09 1169
IE中,页面通过FRAME,JS,IMG等引用其他名页面的时候,P3P协议会阻止引用也的cookie。举例说明:在B.COM中,此时,test.php中产生的cookie将会被阻止,而不会记录下来这种情况下,我们引入P3P header,情况就改变喽~P3P header允许访问隐私数据,从而可以set-cookie成功在www.a.com/
使用p3p设置Cookie
weixin_33736048的博客
10-24 166
有些时候不能将url上的参数传来传去,比如与调用某开放平台上的接口,这时候可能需要借助Cookie来进行处理了,但这里可能又涉及到的问题。   如果浏览器开启了对Cookie的支持,按照Cookie RFC,它应该具有: 1、允许设置至少300个Cookie; 2、每个允许至少设置20个Cookie(IE7/8-50个、FF-50个、Opera-30个); 3、每个Cookie至少...
使用P3P共享Cookie与Session小结
weixin_33859665的博客
11-02 199
P3P是什么 P3P是一种被称为个人隐私安全平台项目(the Platform for Privacy Preferences)的标准,能够保护在线隐私权,使Internet冲浪者可以选择在浏览网页时,是否被第三方收集并利用自己的个人信息。如果一个站点不遵守P3P标准的话,那么有关它的Cookies将被自动拒绝,并且P3P还能够自动识破多种Cookies的嵌入方式。p3p是由全球资讯联盟网所开发...
p3p java_用P3P header解决iframe访问cookie
06-03
P3P(Platform for Privacy Preferences)是一种用于解决隐私问题的标准,可以在Web应用程序中使用它来传递隐私策略信息。在Web应用程序中使用P3P,可以允许浏览器在进行访问时,自动向服务器发送包含隐私策略信息的请求头,从而解决了访问cookie的问题。 在Java中,可以通过设置响应头参数来启用P3P。具体步骤如下: 1.在web.xml文件中添加P3P策略文件的路径: ``` <context-param> <param-name>p3pConfigFile</param-name> <param-value>/WEB-INF/p3p.xml</param-value> </context-param> ``` 2.在web应用程序中创建p3p.xml文件,定义隐私策略信息: ``` <?xml version="1.0"?> <p3p> <policyref>/w3c/p3p.xml</policyref> <CP> <NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM> </CP> </p3p> ``` 3.在Java代码中设置响应头参数: ``` response.setHeader("P3P", "CP=\"NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM\""); ``` 设置完成后,浏览器在访问时,会自动向服务器发送包含P3P信息的请求头,从而实现了访问cookie
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值