我以前已经实现了一个完整的P3P策略，但我不想再为我正在工作的新项目经历一次麻烦。我发现这个链接对于解决问题的简单解决方案很有用，只需要指定一个最小的紧凑P3P策略“CAO PSA OUR”:

http://blog.sweetxml.org/2007/10/minimal-p3p-compact-policy-suggestion.html

这篇文章引用了一个指向Microsoft kb文章的链接(现在已失效)。政策对我起作用了!

这是一个很好的话题，但我发现一个重要的细节(这是必不可少的，至少在我的情况下)，没有张贴在这里或其他任何地方(我道歉，如果我刚刚错过了它)是P3P行必须在每个文件的头从第三方服务器发送，甚至文件没有设置或使用cookie，如Javascript文件或图像。否则cookie将被阻止。我有更多关于这个的帖子在这里:http://posheika.net/?p=110

这里没有提到的一种解决方案是使用会话存储而不是cookie。 当然，这可能不适合每个人的要求，但在某些情况下，这是一个很容易解决的问题。

在Rails 3.2中，我使用:

class ApplicationController < ActionController::Base  

  before_filter :set_p3p  

  private  
    # for IE session cookies thru iframe  
    def set_p3p  
      headers['P3P'] = 'CP="ALL DSP COR CURa ADMa DEVa OUR IND COM NAV"'  
    end  
end  

我从http://dot-net-web-developer-bristol.blogspot.com/2012/04/setting-p3p-header-in-rails-session.html得到了这个

我正在调查这个关于通过Azure访问控制服务登录的问题，并且无法连接任何东西的头部和尾部。

然后，无意中看到了这个帖子https://blogs.msdn.microsoft.com/ieinternals/2011/03/10/beware-cookie-sharing-in-cross-zone-scenarios/

简而言之，IE不会跨区域共享cookie。互联网vs.可信站点)。

所以，如果你的IFrame目标和html页面在不同的区域的P3P不会有任何帮助。

如果有人在寻找阿帕奇线;我们用了这个。

头集P3P "CP=\"谢谢IE8\""

只要有P3P报头，我们将CP值设置为什么并不重要。