ie浏览器IFRAME中Cookie被阻止/未保存

我有两个网站，比如说example.com和anotherexample.net。在anotherexample.net/page.html上，我有一个IFRAME SRC=“http://example.com/someform.asp”。IFRAME显示一个表单供用户填写并提交到http://example.com/process.asp。当我在它自己的浏览器窗口中打开表单(“someform.asp”)时，一切正常。然而，当我在ie6或ie7中加载someform.asp作为IFRAME时，example.com的cookie没有保存。在Firefox中，这个问题不会出现。

出于测试目的，我在http://newmoon.wz.cz/test/page.php上创建了一个类似的设置。

example.com使用基于cookie的会话(对此我无能为力)，因此如果没有cookie, process.asp将无法执行。我如何迫使IE保存这些cookie ?

嗅探HTTP流量的结果:在GET /someform.asp响应中，有一个有效的每会话Set-Cookie报头(例如Set-Cookie: ASPKSJIUIUGF=JKHJUHVGFYTTYFY)，但在POST /process.asp请求中，根本没有Cookie报头。

Edit3:一些AJAX+服务器端脚本显然能够避开这个问题，但这看起来非常像一个bug，而且它还打开了一组全新的安全漏洞。我不希望我的应用程序使用漏洞+安全漏洞的组合只是因为它很容易。

编辑:P3P政策是根本原因，详细解释如下。

当前回答

我以前已经实现了一个完整的P3P策略，但我不想再为我正在工作的新项目经历一次麻烦。我发现这个链接对于解决问题的简单解决方案很有用，只需要指定一个最小的紧凑P3P策略“CAO PSA OUR”:

http://blog.sweetxml.org/2007/10/minimal-p3p-compact-policy-suggestion.html

这篇文章引用了一个指向Microsoft kb文章的链接(现在已失效)。政策对我起作用了!

2011-09-13 14:47:09

其他回答

遇到类似的问题，今天早上也去调查了如何生成P3P策略，这是我关于如何生成你自己的策略并在网站上使用的帖子:) http://everydayopenslikeaflower.blogspot.com/2009/08/how-to-create-p3p-policy-and-implement.html

2009-08-21 15:39:51

这个问题被埋在其他答案的评论中，但我几乎没有注意到，所以它似乎应该有自己的答案。

回顾一下:为了让IE接受第三方cookie，你需要为你的文件提供一个名为p3p的http头文件，格式如下:

CP="my compact p3p policy"

但是，在这一点上，p3p作为一个标准几乎已经死了，你可以很容易地让IE工作，而不需要投入时间和法律资源来创建一个真正的p3p策略。这是因为如果你的p3p策略头是无效的，IE实际上会把它当作一个好策略，并接受第三方cookie。你可以使用这样的p3p头文件

CP="This site does not have a p3p policy."

您可以选择包含一个页面链接，以解释为什么您没有p3p策略，就像谷歌和Facebook所做的那样(它们指向这里:https://support.google.com/accounts/answer/151657和这里:https://www.facebook.com/help/327993273962160/)。

最后，需要注意的是，第三方网站提供的所有文件都需要p3p头文件，而不仅仅是设置cookie的头文件，所以你可能不能在PHP、asp.net等代码中这样做。你最好在web服务器级别设置(即在IIS或Apache中)。

2013-05-24 14:16:26

我让它工作了，但解决方案有点复杂，所以请耐心等待。

发生了什么

实际上，Internet Explorer对IFRAME页面的信任程度较低(IE称其为“第三方”内容)。如果IFRAME内的页面没有隐私政策，则其cookie将被阻止(状态栏中的眼睛图标表示，当您单击它时，它将显示被阻止的url列表)。

(来源:piskvor.org)

在这种情况下，当cookie被阻塞时，会话标识符不会发送，目标脚本抛出'session not found'错误。

(我已经尝试将会话标识符设置到表单中，并从POST变量加载它。这本来是可行的，但出于政治原因，我不能这么做。)

可以使IFRAME内的页面更加可信:如果内页发送带有IE可接受的隐私策略的P3P报头，则cookie将被接受。

如何解决

创建p3p策略

W3C教程是一个很好的起点。我已经浏览了它，下载了IBM隐私策略编辑器，并在那里创建了隐私策略的表示，并为它指定了一个名称以供引用(这里是policy1)。

注意:在这一点上，你实际上需要找出你的网站是否有隐私政策，如果没有，就创建它——它是否收集用户数据，什么样的数据，它用它做什么，谁可以访问它，等等。你需要找到这些信息并思考。仅仅把几个标签拼凑在一起是不够的。这一步不能纯粹在软件中完成，而且可能是高度政治化的(例如。“我们是否应该出售我们的点击统计数据?”)。

(如。“本网站由ACME有限公司运营，使用匿名的会话标识符进行操作，仅在明确允许的情况下收集用户数据，仅用于以下目的，仅在必要时存储数据，只有我们公司才能访问它，等等”)。

(使用此工具编辑时，可以查看策略中的错误/遗漏。同样非常有用的标签是“HTML策略”:在底部，它有一个“策略评估”-一个快速检查策略是否会被IE的默认设置阻止)

编辑器导出到.p3p文件，该文件是上述策略的XML表示形式。此外，它还可以导出该策略的“紧凑版本”。

链接到策略

然后需要一个政策参考文件(http://example.com/w3c/p3p.xml)(网站使用的隐私政策索引):

<META>
  <POLICY-REFERENCES>
    <POLICY-REF about="/w3c/example-com.p3p#policy1">
      <INCLUDE>/</INCLUDE>
      <COOKIE-INCLUDE/>
    </POLICY-REF>
  </POLICY-REFERENCES>
</META>

<INCLUDE>显示将使用此策略的所有uri(在我的示例中是整个站点)。我从Editor导出的策略文件上传到http://example.com/w3c/example-com.p3p

发送带有响应的压缩头

我已经在example.com设置了web服务器来发送带有响应的压缩头，就像这样:

HTTP/1.1 200 OK 
P3P: policyref="/w3c/p3p.xml", CP="IDC DSP COR IVAi IVDi OUR TST"
// ... other headers and content

policyref是策略引用文件的相对URI(该文件又引用隐私策略)，CP是紧凑的策略表示。请注意，示例中的P3P头的组合可能不适用于您的特定网站;您的P3P头必须如实代表您自己的隐私政策!

利润!

在此配置中，Evil Eye不会出现，cookie甚至保存在IFRAME中，应用程序可以正常工作。

编辑:不要做什么，除非你喜欢从诉讼中辩护

一些人建议“在你的P3P头中加入一些标签，直到邪恶之眼放弃”。

标签不仅仅是一堆比特，它们具有现实世界的含义，它们的使用赋予您现实世界的责任!

例如，假装您从未收集用户数据可能会让浏览器高兴，但如果您实际收集用户数据，P3P就与现实相冲突。简单地说，你是在故意欺骗你的用户，这在某些国家可能是犯罪行为。就像"进监狱，拿不到200美元"

以下是一些示例(完整的标签集请参阅p3pwriter):

NOI : "Web Site does not collected identified data." (as soon as there's any customization, a login, or any data collection (***** Analytics, anyone?), you must acknowledge it in your P3P) STP: Information is retained to meet the stated purpose. This requires information to be discarded at the earliest time possible. Sites MUST have a retention policy that establishes a destruction time table. The retention policy MUST be included in or linked from the site's human-readable privacy policy." (so if you send STP but don't have a retention policy, you may be committing fraud. How cool is that? Not at all.)

我不是律师，但我不愿意去法庭上看看P3P头是否真的具有法律约束力，或者你是否可以在不愿意履行承诺的情况下向用户承诺任何东西。

2008-12-23 17:08:34

我花了一天的大部分时间研究P3P的事情，我觉得有必要分享我的发现。

我注意到P3P概念已经非常过时了，似乎只有IE (Internet Explorer)才真正使用/实施。

最简单的解释是:IE希望您在使用cookie时定义P3P报头。

这是一个很好的想法，幸运的是，大多数时候不提供这个报头不会引起任何问题(请阅读浏览器警告)。除非您的网站/web应用程序是使用(i)框架加载到其他网站。这就是IE成为***的巨大痛苦之处。除非设置了P3P报头，否则它将不允许您设置cookie。

了解到这一点，我想找到以下两个问题的答案:

谁在乎呢?换句话说，如果我把“土豆”这个词放在标题中，我会被起诉吗? 其他公司怎么做?

我的发现是:

没人在乎。我找不到任何一份文件表明这项技术有任何法律效力。在我的研究中，我没有发现世界上任何一个国家通过法律禁止在P3P标题中使用“Potato”这个词谷歌和Facebook都在他们的P3P报头字段中放了一个链接，指向一个页面，描述为什么他们没有P3P报头。

这个概念诞生于2002年，让我困惑的是，这个过时的、法律上未实现的概念仍然被强加在IE的开发人员身上。如果此报头没有任何法律后果，则应忽略此报头(或者在控制台中生成警告或通知)。不执行!我现在被迫在我的代码中放入一行(并向客户端发送一个报头)，它完全不做任何事情。

简而言之，为了让IE满意，在PHP代码中添加以下代码行(其他语言应该看起来类似)