我有两个网站,让我们说他们是example.com和anotherexample.net.上anotherexample.net/page.html,我有一个IFRAME SRC="http://example.com/someform.asp".IFRAME显示用户填写并提交的表单http://example.com/process.asp.当我someform.asp在自己的浏览器窗口中打开表单(" ")时,一切正常.但是,当我someform.asp在IE 6或IE 7中作为IFRAME 加载时,example.com的cookie不会保存.在Firefox中,此问题不会出现.
出于测试目的,我在http://newmoon.wz.cz/test/page.php上创建了类似的设置.
example.com使用基于cookie的会话(我无能为力),所以没有cookie,process.asp就不会执行.如何强制IE保存这些cookie?
嗅探HTTP流量的结果:在GET /someform.asp响应中,有一个有效的每会话Set-Cookie头(例如Set-Cookie: ASPKSJIUIUGF=JKHJUHVGFYTTYFY),但在POST /process.asp请求中,根本没有Cookie头.
Edit3:一些AJAX +服务器端脚本显然能够回避这个问题,但这看起来非常像一个bug,而且还会打开一组全新的安全漏洞.我不希望我的应用程序使用bug +安全漏洞的组合只是因为它很容易.
编辑:P3P政策是根本原因,下面有完整的解释.
什么是header('P3P: CP="CAO PSA OUR"');?
如何/为什么它会让这个脚本在IE中正常工作?
session_start();
if (!session_is_registered(pre_myusername)) {
header("location:index.php");
exit();
}
IE8中的"中等安全性"表示third-party cookies that save information that can be used to contact you without your explicit consent被阻止.
什么是最广泛的P3P标题意味着我们不收集此类信息,并且不会被IE阻止?
我想跳过P3P政策的讨厌细节,并设置标题意味着最少的法律义务.它的语义应该是:
we collect everything except information that can be used to contact you.
...没有指明任何其他内容.
请注意,大多数P3P标头都包含在内 - 如果它们不存在,则不允许您为此目的使用该信息 - 因此我要查找的P3P标头应包含大量标志.
我的公司有一个插入购物车的小部件.我们遇到了一个问题,即在IE7中设置cookie不起作用.发生这种情况是因为我们是第三方,因为我们通过iframe嵌入到网站中.
我看过几篇帖子说解决这个问题的方法是在标题中加入一个P3P紧凑策略.如上所述:
Cookie已阻止/未保存在Internet Explorer的IFRAME中
我已经验证我的P3P策略在我的HTTP标头中.它实际上适用于购物车网站的第一页/步骤,但只要页面上有个人信息(如姓名,地址,电话等),IE就会阻止我的网站和我的cookie.
我尝试了几种不同的P3P策略,它们都不能在同一个地方工作.我还使用IBM P3P工具生成我自己的特殊P3P策略,但它仍然不起作用.
我完全失去了.
如何从Django设置P3P紧凑隐私策略,以便IE在安全设置为HIGH时接受来自我网站的cookie - 即除非有紧凑隐私政策,否则不接受cookie.
干杯盖伊
我正试图通过IFRAME登录Google App Engine.它适用于Firefox,Chrome,Opera等.由于" p3p " 问题,IE存在问题.
问题是我找不到为自动/_ah/openid_verify?continue=....请求添加p3p标头的方法,这是设置cookie的地方.
提前致谢.
我不久前问了这个问题,发现IE阻止了iframe中的跨域cookie,除非你设置了p3p策略.到目前为止,p3p修复程序在ie中运行得非常好.但是,现在我们在safari中遇到了同样的错误.
我找到了一篇针对safari 的不同p3p政策的文章.我添加了此代码来设置p3p策略,但我仍然收到请求验证令牌错误.
public static void SetP3PCompactPolicy()
{
HttpContext current = HttpContext.Current;
if (current.Request.UserAgent.ToLower().IndexOf("safari") >= 0)
HttpContext.Current.Response.AddHeader("p3p", "CP=\"IDC DSP COR CURa ADMa OUR IND PHY ONL COM STA\"");
else
HttpContext.Current.Response.AddHeader("p3p", "CP=\"IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT\"");
}
我不确定这是什么意思,但它不适用于Safari(5).
此外,当我收到服务器错误时,所有信息都会在报告中发送给我,包括所有http标头.p3p标头永远不会出现在这些错误中.我不确定这是否是设计或是否是问题的指标.
我正在运行Drupal 7站点,并注意到IE9上的问题,当浏览器窗口关闭时,用户已注销.我们启用了"记住我"模块,并且cookie设置为不过期.在Chrome或任何其他浏览器上没有问题,您可以关闭浏览器,当您打开它时,用户仍然登录.我在使用同一浏览器和计算机运行的任何其他D7网站上都没有看到此问题.主持人是Blackmesh.
settings.php has $cookie_domain = '.mydomain.com';我正在考虑改变它,$cookie_domain = 'www.mydomain.com';因为网站总是重定向到www这对我来说是有意义的,是我和我的系统管理员朋友达成一致的.
我正在考虑的一个可能的解决方案是设置cookie域 settings.php $cookie_domain = 'www.mydomain.com';
我注意到网站上有一些cookie来自www.my域名,一些来自.mydomain
我发现一些似乎有类似问题的线程.
http://forums.modx.com/thread/76947/ie-login-issue-with-www-vs-non-www-address
我正在开发一个为合作伙伴网站带来流量的网站.当我们在网站上点击合作伙伴网站的徽标时,我们会在包含我们的基本标题和iframe中的合作伙伴网站的页面中打开合作伙伴网站.之前我们只是在新窗口中打开合作伙伴网站.到目前为止一切都很酷
大多数合作伙伴网站使用谷歌分析来跟踪我们发送的流量,在我们开始在iframe中开放网站后不久,我们的合作伙伴报告说谷歌分析不再跟踪数据(或只追踪一小部分数据).
我已经在googleverse上做了相当多的家庭作业/研究,并发现谷歌分析或cookie在域和iframe中的常见问题.
我正在尝试解决此问题,并且唯一引用的解决方案是使用P3P标头.
首先,P3P标头在哪里?在我的网站页面或合作伙伴网站页面中.由于我们有许多合作伙伴站点(大小),如果解决方案是在每个站点中放置标签,那么它将不实用.我可以轻松地将它们添加到包含iframe的页面中.
在各种p3p头文件生成器中,你推荐一个可靠的吗?
有没有解决这个问题的方法?我真的需要在iframe中打开网站,显然合作伙伴网站确实需要跟踪流量.
感谢您的帮助.
我们正在使用node.js和meteor.js开发一个应用程序,这个应用程序在Firefox,Chrome和IE 10中运行良好,但是当我们尝试在IE-9中浏览这个应用程序时,它没有加载.
我已经调查了两个浏览器(IE9,Firefox)的请求/响应,我发现对于XHR请求,IE 9使用iframe轮询而不是Web套接字进行数据传输.IE 9在这种情况下不维护cookie,并且每个XHR请求都会导致401错误.所以cookie不会在IE 9的iframe中发送.
我已经调查了如何为iframe启用cookie,我发现我们可以使用隐私政策平台(p3p)实现这一目标.要启用p3p,您必须在域文件夹内的w3c文件夹中的响应头和privacy.policy文件中添加p3p密钥.我做了所有这些.
但事情并非在我的情况下,我做了很多研发来设置p3p的不同-2键.但仍然面临在IE9中加载应用程序的问题.