使用 P3P 规范让 IE 跨域接受第三方 cookie

本文链接：https://blog.youkuaiyun.com/semial/article/details/78498474

本文探讨了IE浏览器对第三方Cookie的限制及其对单点登录(SSO)的影响，并介绍了通过设置P3P头部来解决此问题的方法。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

前两天帮同事处理一个 js 跨域问题，使用 jsonp 跨域提交用户名密码请求，实现自动登录第三方网站，即 SSO(single-sign-on) 单点登录，一处登录处处登录。在 Chrome 下没问题，IE 却不行。查看 HTTP 的几个来回，发现登录请求是成功的，问题出在第三方网站返回的 cookie (session id) IE 并没有接受，下一次发送请求时根本没有带上 cookie，说明之前的 Set-Cookie 指令没有效果，所以怎么也登录不了。查了一下，有人使用 iframe 内嵌网页的形式，也遇到了 IE 下不能设置 cookie 的情况。

如果在“Internet选项”中把“隐私”级别设置为低，或者把第三方域名列入“可信站点”就没问题了。但是我们不可能让每个用户去更改 IE 设定吧？这是一个很常遇到的场景，肯定有别的解决办法。

浏览器的第三方 cookie 限制

所谓第三方 cookie，就是说你访问网页 A，却接收到域名 B 的 cookie 设定指令。这可能是由于网页 A 请求或链接了 B 的网页，比如上面提到的 iframe 以及 jsonp。

我查到了各个浏览器对于跨域的处理规则，可以看到第三方 cookie ，IE 在默认设置中是做了限制的。

不同浏览器的第三方 cookie 规则
	IE	FIREFOX	CHROME	SAFARI	OPERA
限制第三方coookie	是	否	否	是	否

要解决这个问题，有 2 种方法，一个就是上面说到的调整 IE 设置，将第三方域名加入到可信网站列表中；另一个方法，就是 P3P 了。

P3P？

P3P 全称 Platform for Privacy Preferences，隐私设定平台规范。这个规范极其复杂，若要讲清楚，天都黑了一半。简言之，就是网站向浏览器声明自己的隐私政策，比如网站是否搜集访问者的个人信息，设置 cookie 的用途等等。浏览器会依据设置，决定在第三方请求的条件下是否接受网站的 cookie。

完整地部署 P3P 包括设立隐私政策文件（policy.html）、原则档（policy.xml）、参考档（p3p.xml），有兴趣详细了解的可以参考 MSDN 中关于部署 P3P 的文章。

这搞得太复杂了，我只是想在公司内部做各个管理系统的单点登录而已。好在还是有比较简单的方法的，就是发送 P3P 相关的 HTTP header。

ASP.NET:

HttpContext.Current.Response.AddHeader("p3p", "CP=\"IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT\"");

PHP:

header('P3P:CP="IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT"');

JSP:

response.setHeader("P3P","CP='IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT'");

好吧，这些 IDC DSP 什么的是啥意思啊？

这些标签就是 P3P 所规定的了，例如 NOI 表示不搜集可识别用户的资料，ADM 表示信息搜集会用于网站管理……查看完整清单，中文简要清单。

浏览器会根据这些标签决定是否接受 cookie，根据测试结果，加上 NOI 最省事，一个就够了。不过网站一般很难做到 NOI，除非永远匿名，“登录”功能可能就违背了NOI。理论上讲，标签应该真实地反映网站的信息搜集行为，若声明的隐私政策与实际行为不符，是会要负法律责任的。Stackoverflow 有篇讨论提出了法律相关议题，可以参考。

除了传送 P3P http header，还可以通过 HTML meta 标签，或者设定 IIS 服务器来声明 P3P。

参考链接：
http://blog.darkthread.net/post-2011-10-27-p3p-header-and-iframe-session.aspx

crossDomainmapV1.5

默认：同域请求为false

跨域请求为true如果你想强制跨域请求（如JSONP形式）同一域，设置crossDomain为true。这使得例如，服务器端重定向到另一个域

如果浏览器请求状态是304

304（未修改）

自从上次请求后，请求的网页未修改过。服务器返回此响应时，不会返回网页内容。

如果网页自请求者上次请求后再也没有更改过，您应将服务器配置为返回此响应（称为 If-Modified-Since HTTP 标头）。服务器可以告诉 Googlebot 自从上次抓取后网页没有变更，进而节省带宽和开销。

ajax请求可以进行以下设置：

$.ajax({
  		 type:"get",
  		 async:false,
   		 url:"${pc_domain}/ajax/getData",
   		 cache:false,
   		 crossDomain: true,
   	     dataType:'jsonp',
   		 success:function(data){
   		    console.info(data);
   	       }
	   });

java后台代码

@RequestMapping(value = "/ajax/getData", produces = "application/json; charset=utf-8")
	@ResponseBody
	public String  loginSign(String token,String callback,HttpServletRequest request, HttpServletResponse response) throws IOException  {
		response.addHeader("P3P","CP='IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT'");
		ResultData<String> resultData=new ResultData<String>();
		resultData.setCode(Constant.SUCCESS_CODE);
		resultData.setMsg("");
		resultData.setResult(null);
		//Cookie写入
		CookieUtil.createCookie("tk", token, null, "/", false, true, 0, response);
		return  callback+"("+JSON.toJSONString(resultData)+")";
	}