使用 P3P 规范让 IE 跨域接受第三方 cookie

最新推荐文章于 2021-03-06 09:32:33 发布
转载 最新推荐文章于 2021-03-06 09:32:33 发布 · 717 阅读 · 1

本文探讨了在IE浏览器下设置第三方cookie遇到的问题及解决方案,包括调整IE设置、部署P3P规范以及通过HTTP header等方式,重点解决了单点登录(SSO)场景中IE无法接收cookie的问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前两天尝试使用 jsonp 跨域提交用户名密码请求,实现自动登录第三方网站,即 SSO(single-sign-on) 单点登录,一处登录处处登录。在 Firefox下没问题,IE 却不行。查看 HTTP 的几个来回,发现登录请求是成功的,问题出在第三方网站返回的 cookie (session id) IE 并没有接受,下一次发送请求时根本没有带上 cookie,说明之前的 Set-Cookie 指令没有效果,所以怎么也登录不了。查了一下,有人使用 iframe 内嵌网页的形式,也遇到了 IE 下不能设置 cookie 的情况。

如果在“Internet选项”->“隐私”->“高级”中把“替代Cookie自动处理”勾选上(这是IE9的设置,版本低的IE需要把隐身级别设置为低,就没问题了。但是我们不可能让每个用户去更改 IE 设定吧?这是一个很常遇到的场景,肯定有别的解决办法。

浏览器的第三方 cookie 限制

所谓第三方 cookie,就是说你访问网页 A,却接收到域名 B 的 cookie 设定指令。这可能是由于网页 A 请求或链接了 B 的网页,比如上面提到的 iframe 以及 jsonp。

我查到了各个浏览器对于跨域的处理规则,可以看到第三方 cookie ,IE 在默认设置中是做了限制的。

不同浏览器的第三方 cookie 规则
 

IE

FireFox

Chrome

Safari

Opera

限制第三方coookie

要解决这个问题,有 2 种方法,一个就是上面说到的调整 IE 设置,将第三方域名加入到可信网站列表中;另一个方法,就是 P3P 了。

P3P?

P3P 全称 Platform for Privacy Preferences,隐私设定平台规范。这个规范极其复杂,若要讲清楚,天都黑了一半。简言之,就是网站向浏览器声明自己的隐私政策,比如网站是否搜集访问者的个人信息,设置 cookie 的用途等等。浏览器会依据设置,决定在第三方请求的条件下是否接受网站的 cookie。

完整地部署 P3P 包括设立隐私政策文件(policy.html)、原则档(policy.xml)、参考档(p3p.xml),有兴趣详细了解的可以参考 MSDN 中关于部署 P3P的文章。

这搞得太复杂了,我只是想在公司内部做各个管理系统的单点登录而已。好在还是有比较简单的方法的,就是发送 P3P 相关的 HTTP header。

ASP.NET:

HttpContext.Current.Response.AddHeader("p3p", "CP=\"IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT\"");

PHP:

header('P3P:CP="IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT"');

JSP:

response.setHeader("P3P","CP='IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT'");

好吧,这些 IDC DSP 什么的是啥意思啊?

这些标签就是 P3P 所规定的了,例如 NOI 表示不搜集可识别用户的资料,ADM 表示信息搜集会用于网站管理……

浏览器会根据这些标签决定是否接受 cookie,根据测试结果,加上 NOI 最省事,一个就够了。不过网站一般很难做到 NOI,除非永远匿名,“登录”功能可能就违背了NOI。理论上讲,标签应该真实地反映网站的信息搜集行为,若声明的隐私政策与实际行为不符,是会要负法律责任的。Stackoverflow 有篇讨论提出了法律相关议题,可以参考。

除了传送 P3P http header,还可以通过 HTML meta 标签,或者 设定 IIS 服务器 来声明 P3P。

参考链接:http://www.lovelucy.info/ie-accept-third-party-cookie.html

PS:查看好几篇类似JSP中使用P3P解决跨域的方法,发现P3P的值不太一样,但在IE9下都是正确的,在此记录一下

response.setHeader("P3P","CP='IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT'");
response.setHeader("P3P","CP=\"NON DSP COR CURa ADMa DEVa TAIa PSAa PSDa IVAa IVDa CONa HISa TELa OTPa OUR UNRa IND UNI COM NAV INT DEM CNT PRE LOC\"");
response.setHeader("P3P","CP=CAO PSA OUR");
response.setHeader("P3P","CP='CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR'");


P3P 隐私设定平台规范(整合)
weixin_34259232的博客
02-19 220
2019独角兽企业重金招聘Python工程师标准>>> ...
p3p操作cookie
小果果
11-06 578
首先在readlog.cn下放置一个文件setcookie.php 内容:   PHP代码      header('P3P: CP="CAO DSP COR CUR ADM DEV TAI PSA PSD IVAi IVDi CONi TELo OTPi OUR DELi SAMi OTRi UNRi PUBi IND PHY ONL UNI PUR FIN COM NAV IN
IE iframe cookie问题(p3p)
weixin_34259232的博客
03-14 224
2019独角兽企业重金招聘Python工程师标准>>> ...
ASP.NET Tip: How to Implement P3P HTTP Headers
weixin_34315189的博客
02-07 119
The ProblemQ: Why "make sure to implement P3P if using iframes" ?   A: If your application is inside iframe with parent belongs to another domain - cookies will not work for some very common configu...
P3P Header解决Cookie的问题
01-21
 P3P是一種被稱為個人隱私安全平臺項目(the Platform for Privary Preferences)的標準,能夠保護在線隱私權,使Internet衝浪者可以選擇在瀏覽網頁時,是否被第三方收集並利用自己的個人信息。如果一個站點不遵守...
iframe与session失效问题的解决办法
01-21
第三方session/cookie指的是当前访问的网站中会加载(嵌入)另外第三方的网站代码,例如促销广告,那么第三方网 站也会在访客的计算机上添加session/cookie,这种就是第三方session/cookie。 我的问题 在开发讯息...
关于Iframe如何访问Cookie和Session的解决方法
10-27
这样,当Iframe加载admin.php时,浏览器会接受P3P头,允许在不同之间设置和读取Cookie,从而实现登录。 至于Session,虽然它看起来与Cookie不同,但它们在很多情况下密切相关。Session通常依赖于Cookie来存储...
PHP利用P3P实现
热门推荐
JJmaiz-麦嘉俊-Concentrate on Web
09-24 1万+
有别于JS、IFRAME等的常用处理办法,还可以利用P3P来实现。 P3P是什么 P3P(Platform for Privacy Preferences)是W3C公布的一项隐私保护推荐标准,以为用户提供隐私保护。 P3P标准的构想是:Web 站点的隐私策略应该告之访问者该站点所收集的信息类型、信息将提供给哪些人、信息将被保留多少时间及其使用信息的方式,如站点应做诸如
P3P设置第三方cookie解决方案
weixin_34355559的博客
06-24 674
原文地址:http://blog.youkuaiyun.com/lovingprince/article/details/5984449 首先,什么是P3P(Platform for Privacy Preferences),其实就是一种可以提供个人隐私保护策略的平台协议。网上去去找,说得更清楚,我就不罗嗦了,我只举个实际例子让大家有个认识。 例如first.abc.com这...
p3p 实现的时候涉及到cookies的问题
lorinzhang
04-03 1427
首先确认目的:这里操作 cookies并不是  一个A 网站直接操作任意B网站的cookies。如果允许这么干那么天下大乱了,如果不甚了解请去google 那么这次的实验情景 情景: 有www.a.com ,www.b.com 两个网站,    www.b.com有个开放给第三方系统登陆即接受第三方系统传过来的用户参数的登陆页面,但是这里登陆成功后的标识是写cookies的,为了模拟 我在
P3P_浏览器cookie_iframe
fantaxy025025的专栏
08-31 181
P3P_浏览器cookie_iframe   且说我使用有些网络服务的时候常常能遇到比较怪异的问题。昨天在某个页面遇到个Redirect Loop 错误提示: Firefox has detected that the server is redirecting the request for this address in a way that will never complete. ...
在IFrame中通过P3Pheader来启用Cookies
为梦想奋斗
07-15 938
<br />在IFrame中嵌入的网页如果和父窗口不是同一,则Cookies会被IE阻止,<br />解决办法是在页面中加入P3P的header,如下PHP示例<br /> <br /> <br />header("P3P: CP=CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR");<br /> 
P3P技术
xieronghua246的博客
06-08 361
P3P技术用来解决隐私问题,常见问题就是iframe写入cookies 首先我们需要一个p3p.xml &lt;META xmlns="http://www.w3.org/2000/12/P3Pv1"&gt;   &lt;POLICY-REFERENCES&gt;    &lt;POLICY-REF about="/w3c/vodone.xml"&gt;       &lt;INCLU...
P3P header让set-cookie成为现实
仲伟涛学习笔记
04-09 1169
IE中,页面通过FRAME,JS,IMG等引用其他名页面的时候,P3P协议会阻止引用也的cookie。举例说明:在B.COM中,此时,test.php中产生的cookie将会被阻止,而不会记录下来这种情况下,我们引入P3P header,情况就改变喽~P3P header允许访问隐私数据,从而可以set-cookie成功在www.a.com/
使用p3p设置Cookie
weixin_33736048的博客
10-24 166
有些时候不能将url上的参数传来传去,比如与调用某开放平台上的接口,这时候可能需要借助Cookie来进行处理了,但这里可能又涉及到的问题。   如果浏览器开启了对Cookie的支持,按照Cookie RFC,它应该具有: 1、允许设置至少300个Cookie; 2、每个允许至少设置20个Cookie(IE7/8-50个、FF-50个、Opera-30个); 3、每个Cookie至少...
P3P 和 (cross-domain) cookie 访问(读取和设置)
guo_yang的博客
12-06 533
IE 里面去设置 cookie的实现,尝试了n中方法都不行,查了一下资料,可以通过设置header中的p3p值来实现,真不错:) 比如要访问b站在a站设置一个cookies,则可以这样做: 1.在b.com下建立一个文件cookies.htm 内容为: 复制代码代码如下: &lt;script language="javascript" src="http://a.com...
java cookie p3p_P3P script src 解决cookie存取的问题 java 终极解决办法
weixin_36415206的博客
03-06 186
最近在做一个项目,我的网站是www.a.com,但是需要取到www.b.com网站的cookie,折腾了很久,在同事的合作下。总算搞定了。我是用java做的, 首先在www.a.com/a.vm文件中加入这句话:src中的链接可以是b中的一个页面或者一个Action,都可以,我是用一个Action的。在b.com的这个action中,我的代码如下:public ActionForward getS...
http p3p
iteye_13654的博客
10-25 912
用P3P实现隐私参数优选策略 用P3P实现隐私参数优选策略 Platform for Privacy Preferences(P3P,中文称隐私参数优选平台)是一种为网站说明隐私和/或用户信息策略的XML标准。采用P3P之后网站属主即可描述其网站所收集的信息内容及其用途,在没有实现P3P的情况下,有些用户在提交表单或者用cookie浏览网站时就只得把自己的安全选项设置为较低级别。而采用 P3P...
iframecookie丢失
最新发布
03-08
### 解决 iframe 中 Cookie 丢失的方法 #### 使用 P3P 头部解决 IE 浏览器中的问题 对于 Internet Explorer (IE),支持的 P3P 协议会默认阻止第三方无隐私安全声明的 cookie,在请求中不会在 header 中发送(设置)cookie 信息。为了使 IE 不再阻止这些 cookies,可以在 HTTP 响应头中添加 `P3P` 字段[^1]。 ```java public class P3PFilter implements Filter { @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletResponse httpResponse = (HttpServletResponse) response; httpResponse.setHeader("P3P", "CP=\"IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT\""); chain.doFilter(request, response); } // Other methods... } ``` 此过滤器会在每个响应头部加入指定的 P3P 隐私策略字符串,使得浏览器能够接受来自不同名框架内的 cookie 设置。 #### 应用 CORS 或 JSONP 实现数据交互 当遇到因同源政策而无法正常工作的场景时,可以考虑采用资源共享(CORS)[^2]的方式允许服务器端配置特定资源可被哪些外部站点访问;或者是通过 JSONP 技术绕过同源限制完成简单的 GET 请求操作。不过这两种方法主要适用于 API 接口调用而非直接处理 session/cookies 的情况。 #### 利用顶级导航重定向机制 另一种常见的做法是在首次加载 iFrame 页面之前先执行一次顶级窗口位置改变的动作,即让用户短暂离开当前页面并立即返回原址,这样做的目的是为了让用户的浏览器认为这是第一次访问目标网站而不是嵌套浏览环境的一部分,进而正确保存和读取相关的认证凭证或会话信息。 以上三种方式可以根据实际需求和技术栈特点灵活选用一种或多组合起来使用以彻底解决问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值