- 浏览: 128332 次
- 性别:
- 来自: 福建
文章分类
最新评论
各种语言在头文件中,加入P3P协议代码,解决iframe跨域访问:
理论很简单,模式和大多请求返回状态的SSO差不多.但是有几个地方需要注意的。
1.页面里的COOKIE不能是浏览器进程的COOKIE(包括验证票和不设置超时时间的COOKIE),否则跨域会取不到.这点做跨域COOKIE的人比较少提到.不过实际上留意下几家大学做的方案,有细微的提到他们的验证模块里的COOKIE是有设置超时时间的.
2.当利用IFRAME时,记得要在相应的动态页的页头添加一下P3P的信息,否则IE会自觉的把IFRAME框里的COOKIE给阻止掉,产生问题.本身不保存自然就取不到了.这个其实是FRAMESET和COOKIE的问题,用FRAME或者IFRAME都会遇到.
3.测试时输出TRACE,会减少很多测试的工作量.
只需要设置 P3P HTTP Header ,在隐含 iframe 里面跨域设置 cookie 就可以成功。他们所用的内容是:
P3P: CP='CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR'
ASP直接在头部加了头部申明,测试有效。
<%Response.AddHeader "P3P", "CP=CAO PSA OUR"%>
php的话,我没去试,应该是如下写法:
header('P3P: CP=CAO PSA OUR');
ASP.NET的话
通过在代码上加Response.AddHeader("P3P", "CP=CAO PSA OUR")或者在Window服务中将ASP.NET State Service 启动。
JSP:
response.setHeader("P3P","CP=CAO PSA OUR")
----------------------------- 以下是一个应用的跨域访问流程案例 ---------------------------------------
目前在整合几个应用时,遇到了iframe无法获取cookie(session)的问题,经过google,终于把这个问题解决了,现在记录一下。
我的需求是这样的。
有一个应用是用.net开发的,主要是控制用户登录,用户访问权限的,部署在上海机房。现在就叫A应用吧
还有一个应用是用java开发,主要是具体业务的操作。部署在北京机房,这里叫B应用吧
由于已经有一个用户管理和权限的应用程序,所以java 开发的这个B应用就没有开发用户权限的功能,想直接使用.net的A程序。
用户访问的流程是这样的:
1.用户先在A处登录,A设自己的cookie,在A的菜单里有去B应用的链接
2.当用户点去B应用的链接时,A在链接上自动加上这个用户的token,传给B系统
3.当B系统接收到请求后,把这个用户的token信息设成自己系统的cookie,(B系统里有表单post操作,如果不设cookie,session,那么每个请求不管GET还是POST都要明确带着该用户的token信息,对于系统的改造量比较大,另外以后换权限验证方法改动也比较大。)
4.用户在B系统里的每次操作都没有明码带用户的token,所以每次都要去cookie得到token信息,然后发送一个http请求去A,让A系统验证这个用户是否有权限访问。
5.如果A系统的接口返回可以访问的状态报告,那么B继续执行;如果A系统指示没有权限访问,那么B系统提示访问受控警告信息。
一切开发都完成,到整合上线时,发现这个流程走不通,百思不得其解,想了半天也不知道 怎么 回事,google了半天,才发现原来是ie在捣鬼,IE不允许跨域访问cookie(好象firefox没问题,ie自6.0以后改用w3c组织的P3P协议了),再看看我的应用,在第二步设的cookie,在第三步以后所有B应用的访问请求,ie都把B应用的cookie blocked掉了(因为用户的访问是从A应用发起,从A应用访问B应用的东东,算跨域访问,IE认为有安全问题)。。。。(IE状态栏有一个红眼睛的button,点开可以看到哪些cookie给blocked掉了)
知道原因就好办了,再google知道可以用P3P header可以解决问题!
下面是java的解决办法之一,也是我的解决办法,不过个方法不太好:
直接往响应里加一个P3P的header
response().addHeader("P3P", "CP=\"IDC DSP COR CURa ADMa OUR IND PHY ONL COM STA\"");
其中CP=“XXX XXXX”这些是有具体含义的:
CP就是compact policies的意思,
另外
header的值也可以是policyref="http://myhost/P3P/PolicyReferences.xml",就是指定一个策略文件。
具体请看这里
.
-------------------------- OK OVER --------------------------------
下面是摘抄的一段Compact Policies
的具体取值范围和设值含义。
Compact Policies
Compact policies are essentially summaries of P3P policies. They can be used by user agents to quickly get approximate information about P3P policies, therefore improving performance.
For an in-depth explanation of compact policies, we refer to the P3P1.0 [4] specification. Here, we limit to stating the syntax:
compact-policy-field = `CP="` compact-policy `"`
compact-policy = compact-token *(" " compact-token)
compact-token = compact-access |
compact-disputes |
compact-remedies |
compact-non-identifiable |
compact-purpose |
compact-recipient |
compact-retention |
compact-categories |
compact-test
compact-access = "NOI" | "ALL" | "CAO" | "IDC" | "OTI" | "NON"
compact-disputes = "DSP"
compact-remedies = "COR" | "MON" | "LAW"
compact-non-identifiable = "NID"
compact-purpose = "CUR" | "ADM" [creq] | "DEV" [creq] | "TAI" [creq] |
"PSA" [creq] | "PSD" [creq] | "IVA" [creq] | "IVD" [creq] |
"CON" [creq] | "HIS" [creq] | "TEL" [creq] | "OTP" [creq]
creq = "a" | "i" | "o"
compact-recipient = "OUR" | "DEL" [creq] | "SAM" [creq] | "UNR" [creq] |
"PUB" [creq] | "OTR" [creq]
compact-retention = "NOR" | "STP" | "LEG" | "BUS" | "IND"
compact-category = "PHY" | "ONL" | "UNI" | "PUR" | "FIN" | "COM" |
"NAV" | "INT" | "DEM" | "CNT" | "STA" | "POL" |
"HEA" | "PRE" | "LOC" | "GOV" | "OTC"
compact-test = "TST"
另外这里还有一个P3P的验证工具:http://www.w3.org/P3P/validator.html ,可以验证一下自己设置的P3P是否正确。
这里还有一个老外写的不错的blog,也可以参考一下。http://www.sitepoint.com/article/p3p-cookies-ie6/2
----其他--------------------------------------------------------------------------------------------------
IE6/IE7支持的P3P(Platform for Privacy Preferences Project (P3P) specification)协议默认阻止第三方无隐私安全声明的cookie,Firefox目前还不支持P3P安全特性,firefox中自然也不存 在此问题了。
在frameset里面,也就是里面的frame是来自第三方站点(不同IP或不同域名),那么默认情况下IE会自动禁用这些站点的cookie, 也就是在请求某url时在HTTP header里不发送它们的cookie,包括session的cookie。注意,这些站点在response里面设置的cookie还是会被发送到浏 览器的。
在用户浏览a.php时 A.com写入的为第一方Cookie,其嵌入的iframe 指向 b.php.这时B.com写入的就为第三方Cookie了,所以它是被IE当在了大门外。 所以,每次当用户提交的cookie提交时,就挂掉了.因为传不到真实的服务器.
解决方案.
PHP 的程序 , 可以直接在B网站中写入
<?php
header('P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"' );
?>
lighttpd的服务器
server.modules = ("mod_setenv")
setenv.add-response-header = ( "P3P" = > " CP = 'CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR' ")
apache的服务器
< VirtualHost >
Header set P3P 'CP = "CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR" '
</ VirtualHost >
增加一个网站http头来解决问题;
管理
工具——〉选择一个网站
——〉属性——〉 http头,增加一个http头
然后输入头名:P3P
输入头内容:CP=CAO PSA OUR
jsp页面:
- < %
- response.setHeader("P3P","CP = CAO PSA OUR");
- %>
public class TransNameFilter extends HttpServlet implements Filter {
private static org.apache.commons.logging.Log logWriter =
LogFactory.getLog(TransNameFilter.class .getName());
public TransNameFilter() {
super
();
}
/* (非 Javadoc)
* @see javax.servlet.Filter#init(javax.servlet.FilterConfig)
*/
public void init(FilterConfig arg0) throws ServletException {
}
/* (非 Javadoc)
* @see javax.servlet.Filter#doFilter(javax.servlet.ServletRequest, javax.servlet.ServletResponse, javax.servlet.FilterChain)
*/
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
throws IOException, ServletException {
HttpServletRequest hreq = (HttpServletRequest) request;
String transName = hreq.getParameter("transName" );
if (Util.isNullOrEmpty(transName)) {
logWriter.fatal(" there is no transName for this request" );
} else {
logWriter.info(" transName is " + transName);
}
HttpServletResponse res = (HttpServletResponse) response;
//iframe引起的内部cookie丢失
res.setHeader("P3P" , "CP=CAO PSA OUR" );
if (chain != null )
chain.doFilter(request, response);
}
/* (非 Javadoc)
* @see javax.servlet.Filter#destroy()
*/
public void destroy() {
}
}
此文整理来自:http://www.cnblogs.com/Guroer/archive/2011/02/15/1955426.html
其它几个跨域访问文章:
http://blog.csdn.net/lanmao100/archive/2008/04/25/2328491.aspx 用P3P header解决iframe跨域访问cookie/session
http://viralpatel.net/blogs/2008/12/how-to-set-third-party-cookies-with-iframe.html How to set third-party cookies with iframe
http://hi.baidu.com/aullik5/blog/item/cde7f31efc3953f2e0fe0b46.html P3P Header Tips
发表评论
-
xxtea对称加密解密算法
2012-06-13 15:20 2093Class Xxtea { public function ... -
PHP判断一个请求是AJAX请求还是普通请求
2012-04-20 16:56 1231条件:使用jquery框架 原理:在jquery框架中,对于 ... -
PHP XDebug扩展
2012-04-18 09:28 1119XDebug 是一个 php 代码的调试工具, 对程序员调试程 ... -
PHP高级工程师的面试题
2012-04-13 18:12 9151. 基本知识点 HTTP协议中几个状态码的含义:50 ... -
用 memcache 来存储 session
2012-03-05 14:27 988PECL :: Package :: memc ... -
用Zend Studio 快速生成WSDL文件
2011-08-08 17:48 5877最近在写webservice接口,最麻烦的是WSDL文件。以前 ... -
header()函数的应用
2011-02-10 12:00 910备注:使用header()函数前,不能有任何输出,前面放个ob ... -
多维对象转数组
2011-01-12 17:20 778static function object_to_arra ... -
PHP异常处理
2010-12-20 17:33 783/** * PHP异常处理 * * PHP 5 添加了类 ... -
快捷打印变量
2010-12-17 15:06 799function e() { $color = '' ... -
PHP字符串处理函数大全
2010-09-03 10:13 774AddSlashes: 字符串加入斜线。bin2hex: 二进 ... -
interface与abstract的区别
2010-08-06 14:08 10391.相同点: A. 两者都是 ... -
当 MySQL 和 Memcached 遇到尾部空格时
2010-07-30 11:59 815MySQL 和 Memcached 对于同一个key,不能对应 ... -
多维数组转化成对象
2010-06-11 13:33 905# 把数组转化成对象 function array_to_o ... -
遍历文件夹下的所有文件和子文件夹
2010-04-23 11:39 863function my_scandir($dir) { ... -
header中Content-type的种类
2010-04-22 00:01 1509Content-type 的说明:'hqx' -> 'a ... -
PHP扩展CURL的用法
2010-04-13 15:05 11141、使用CURL模拟POST表单提交 <?php / ... -
教你如何在博客首页挂上自己的新浪微博
2010-03-30 12:52 1805想要把你的新浪微博挂 ... -
文件操作函数
2010-03-26 12:27 722/** * 读文件 +---------------- ... -
汉字转换成拼音
2010-03-26 12:21 1241<? /* * 把汉字,词转成汉语拼音及拼音缩写,如 ...
相关推荐
P3P P3P是一種被稱為個人隱私安全平臺項目(the ... 當頁面存在iframe時,想要獲取iframe框架裏面的cookie,就要在iframe相應的動態頁面裏面添加P3P Header信息,否則在IE下獲取不到。因為IE有安全策略,限制頁面不
总结来说,解决Iframe跨域访问Cookie和Session的关键在于理解和利用浏览器的特性,如P3P协议,以及巧妙地调整代码结构。同时,对于Session的管理,要意识到它与Cookie之间的关联性。在多系统集成的场景下,这些技巧...
总结起来,解决iframe跨域和session失效的问题,关键在于处理第三方cookie的访问控制和IE浏览器的P3P协议要求。合理的P3P声明是关键所在,它能允许浏览器在符合用户隐私政策的前提下,正确地处理来自第三方源的...
在 ASP.NET 开发中,跨域和 Session 失效问题是一个常见的问题,但通过添加“P3P”协议和使用 HttpContext.Current.Session,我们可以解决这个问题,从而确保应用程序的正常运行。 相关知识点: * 跨域和 Session ...
解决跨域页面访问问题的办法是,在子系统的登录代码中加入 P3P 的认证,即允许第三方读取 cookie,这样 cookie 值才能被浏览器正确的读取并保存。P3P(Platform for Privacy Preferences)是一种隐私保护协议,允许...
对于IE浏览器,需要在服务器端添加P3P头,例如`Response.AddHeader("P3P", "CP=CAOPSAOUR")`,这有助于浏览器识别网站的隐私政策,从而允许Cookie的存储和读取。这里的`CP="CAOPSAOUR"`表示站点遵循的隐私原则,...
通过设置P3P头,可以通知浏览器允许iframe内的页面使用和共享Session,从而修复登录和其他依赖Session的功能。在开发过程中,对于兼容性问题,尤其是浏览器的差异性,需要进行充分的测试和调试,确保在多种环境下都...
- Header(P3P):通过P3P协议在跨域请求中传递cookies,但这种方法在IE浏览器中需要特殊的头信息。 - 数据库共享:通过数据库共享用户信息,但这可能导致数据同步问题和额外的安全隐患。 综上所述,单点登录系统是...
- **PHP在IE下的iframe跨域session丢失问题**:由于浏览器同源策略,跨域会导致会话丢失,可以通过设置 P3P 头部或使用共享域名的 cookie 来解决。 - **Failed to write session data** 错误:这通常是因为临时...