关于IE下面iframe跨域 cookie丢失的问题
2013-07-23 10:38
701 查看
对于IE来说(默认安全级别下 IE9以下 IE9以上没这个问题),iframe、img、link等标签都是只发送session
cookie(又叫 第一方cookie),拦截本地cookie发送(又叫第三方cookie)。当这些标签跨域引用一个页面,实际上是发起了一次GET请求。
如果这个跨域的请求,HTTP返回头中带有Set-Cookie ,
那么这个cookie对浏览器来说,实际上是无效的。
看如下测试
假设有 www.a.com 与 www.b.com 两个域
在 www.b.com 上有一个页面,其中包含一个指向 www.a.com 的iframe
http://www.b.com/test.html 的内容为:
----------------------------------------------------------------------
<iframe width=300 height=300 src="http://www.a.com/test.php" ></iframe>
----------------------------------------------------------------------
http://www.a.com/test.php 是一个对 a.com 域设置 cookie的页面,其内容为:
----------------------------------------------------------------------
<?php
header("Set-Cookie: test=axis; domain=.a.com; path=/");
?>
<script>
alert(document.cookie);
</script>
----------------------------------------------------------------------
此时我们请求 http://www.b.com/test.html , 他包含一个iframe,会去跨域请求 www.a.com/test.php ,该php页面会尝试 set-cookie
第一次请求, test.php 会 set-cookie,所以浏览器会收到一个cookie。
如果 set-cookie 成功,再次请求该页面,浏览器应该会 sent 刚才 recieve 到的cookie。可是由于前面说的跨域限制,在IE里的iframe标签是 set-cookie不成功的,所以无法sent刚才收到的cookie。 这里无论是
session cookie 还是本地cookie都是一样。
可以看到,第二次发包,还是没能sent出去cookie
但是这种情况在加入了P3P header 后会改变。
P3P header允许跨域访问隐私数据,从而可以跨域set-cookie成功
我们修改 www.a.com/test.php 为
----------------------------------------------------------------------
<?php
header("P3P: CP=CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM N*** OTC NOI DSP COR");
header("Set-Cookie: test=axis; expires=Sun, 23-Dec-2018 08:13:02 GMT; domain=.a.com; path=/");
?>
<script>
alert(document.cookie);
</script>
----------------------------------------------------------------------
再次访问两次上面的测试过程
可以看到第二个包已经发送出了收到的cookie
而我们写的javas
cript也能够弹出cookie了。
值得注意的是,P3P header只需要设置一次,这样跟在这个P3P header后面的所有 set-cookie,都可以跨域访问了。也就是说: 被P3P header设置过一次后,之后的请求不再需要P3P header,也能够在iframe里跨域发送这些cookie。
但是如果用 set-cookie 去改变设置好的cookie,则不再具有这种跨域访问特性。
P3P header 还有一个特点就是同一个包里只能设置一次,后面的P3P Header不会覆盖前面的P3P header,浏览器只认第一个。
P3P 是 The Platform for Privacy Preferences 的简称
更多具体的内容可以参阅W3C的标准 http://www.w3.org/TR/P3P/
在这里,我们看到的很乱的 P3P header里的东西,都不知道是什么乱七八糟的策略内容,实际上这是一些简写
比如 上面用到的
P3P: CP=CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM N*** OTC NOI DSP COR
CP 是 Compact Policy 的简写
CURa 中 CUR 是 <current/> 的简写, a 是 always 的简写
定义很多,我这里摘部分标准中的内容
更多的内容可以参考上面提到的标准
当然P3P header也可以直接 引用一个 xml 策略文件
比如这么写
使用P3P的方法还有很多,这里不一一列举了。
cookie(又叫 第一方cookie),拦截本地cookie发送(又叫第三方cookie)。当这些标签跨域引用一个页面,实际上是发起了一次GET请求。
如果这个跨域的请求,HTTP返回头中带有Set-Cookie ,
那么这个cookie对浏览器来说,实际上是无效的。
看如下测试
假设有 www.a.com 与 www.b.com 两个域
在 www.b.com 上有一个页面,其中包含一个指向 www.a.com 的iframe
http://www.b.com/test.html 的内容为:
----------------------------------------------------------------------
<iframe width=300 height=300 src="http://www.a.com/test.php" ></iframe>
----------------------------------------------------------------------
http://www.a.com/test.php 是一个对 a.com 域设置 cookie的页面,其内容为:
----------------------------------------------------------------------
<?php
header("Set-Cookie: test=axis; domain=.a.com; path=/");
?>
<script>
alert(document.cookie);
</script>
----------------------------------------------------------------------
此时我们请求 http://www.b.com/test.html , 他包含一个iframe,会去跨域请求 www.a.com/test.php ,该php页面会尝试 set-cookie
第一次请求, test.php 会 set-cookie,所以浏览器会收到一个cookie。
如果 set-cookie 成功,再次请求该页面,浏览器应该会 sent 刚才 recieve 到的cookie。可是由于前面说的跨域限制,在IE里的iframe标签是 set-cookie不成功的,所以无法sent刚才收到的cookie。 这里无论是
session cookie 还是本地cookie都是一样。
可以看到,第二次发包,还是没能sent出去cookie
但是这种情况在加入了P3P header 后会改变。
P3P header允许跨域访问隐私数据,从而可以跨域set-cookie成功
我们修改 www.a.com/test.php 为
----------------------------------------------------------------------
<?php
header("P3P: CP=CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM N*** OTC NOI DSP COR");
header("Set-Cookie: test=axis; expires=Sun, 23-Dec-2018 08:13:02 GMT; domain=.a.com; path=/");
?>
<script>
alert(document.cookie);
</script>
----------------------------------------------------------------------
再次访问两次上面的测试过程
可以看到第二个包已经发送出了收到的cookie
而我们写的javas
cript也能够弹出cookie了。
值得注意的是,P3P header只需要设置一次,这样跟在这个P3P header后面的所有 set-cookie,都可以跨域访问了。也就是说: 被P3P header设置过一次后,之后的请求不再需要P3P header,也能够在iframe里跨域发送这些cookie。
但是如果用 set-cookie 去改变设置好的cookie,则不再具有这种跨域访问特性。
P3P header 还有一个特点就是同一个包里只能设置一次,后面的P3P Header不会覆盖前面的P3P header,浏览器只认第一个。
P3P 是 The Platform for Privacy Preferences 的简称
更多具体的内容可以参阅W3C的标准 http://www.w3.org/TR/P3P/
在这里,我们看到的很乱的 P3P header里的东西,都不知道是什么乱七八糟的策略内容,实际上这是一些简写
比如 上面用到的
P3P: CP=CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM N*** OTC NOI DSP COR
CP 是 Compact Policy 的简写
CURa 中 CUR 是 <current/> 的简写, a 是 always 的简写
定义很多,我这里摘部分标准中的内容
[57] | compact-purpose | = | "CUR" | ; for <current/> "ADM" [creq] | ; for <admin/> "DEV" [creq] | ; for <develop/> "TAI" [creq] | ; for <tailoring/> "PSA" [creq] | ; for <pseudo-analysis/> "PSD" [creq] | ; for <pseudo-decision/> "IVA" [creq] | ; for <individual-analysis/> "IVD" [creq] | ; for <individual-decision/> "CON" [creq] | ; for <contact/> "HIS" [creq] | ; for <historical/> "TEL" [creq] | ; for <telemarketing/> "OTP" [creq] ; for <other-purpose/> |
[58] | creq | = | "a"| ;"always" "i"| ;"opt-in" "o" ;"opt-out" |
当然P3P header也可以直接 引用一个 xml 策略文件
比如这么写
HTTP/1.1 200 OK P3P: policyref="http://catalog.example.com/P3P/PolicyReferences.xml" Content-Type: text/html Content-Length: 7413 Server: CC-Galaxy/1.3.18
使用P3P的方法还有很多,这里不一一列举了。
相关文章推荐
- 关于IE下面iframe跨域 cookie丢失的问题
- PHP关于IE下的iframe跨域导致session丢失问题解决方法
- PHP关于IE下的iframe跨域导致session丢失问题解决方法
- PHP关于IE下的iframe跨域导致session丢失问题解决方法
- iframe中跨域cookie丢失问题java解决
- 用P3P header解决IE下iframe跨域访问时候session丢失的问题
- IE中iframe跨域丢失Session问题(续 p3p)
- IE下iframe跨域登录session丢失问题
- 用P3P header解决IE下iframe跨域访问时候session丢失的问题
- QQ登录IE下iframe跨域session和cookie失效问题的解决方案
- IE下iframe跨域session和cookie失效问题的解决方案
- 用P3P header解决IE下iframe跨域访问时候session丢失的问题
- 解决IE Iframe跨域Session丢失问题
- IE下iframe跨域session和cookie失效问题的解决方案
- iframe 跨域访问session/cookie丢失问题解决方法
- ie下使用frameset布局导致跨域cookie丢失问题解决
- iframe 跨域访问session/cookie丢失问题解决方法
- ie下使用frameset布局导致跨域cookie丢失问题解决
- IE下iframe跨域session和cookie失效问题的解决方案
- PHP关于IE的iframe跨域导致session丢失