iframe跨域访问session丢失

       本文引用 http://blog.163.com/da7_1@126/blog/static/1040726782011102771537946/

       最近在弄单点登录，跨域访问的东西，结果碰到问题，当iframe打开跨域的请求时，每次的session都不一致。该问题在ff中又不存在，最后通过网上寻找资料才得以解决，其中java已得以验证成功，如下：

问题根源：
IE6/IE7支持的P3P(Platform for Privacy Preferences Project (P3P) specification)协议默认阻止第三方无隐私安全声明的cookie，Firefox目前还不支持P3P安全特性，firefox中自然也不存 在此问题了。

 解决办法：

在要嵌入的内容中(iframe指向的站点)输出P3P的主机头声明：
php:
header('P3P:CP="IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT"');

asp.net:
HttpContext.Current.Response.AddHeader("p3p", "CP=\""IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT\""")

或者：Response.AddHeader("P3P","CP=CAO PSA OUR");

jsp:
response.setHeader("P3P","CP='IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT'")

ColdFusion:
<cfheader name="P3P" value="CP='IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT'" />

针对ASP.Net的其它解决办法：

在 开发中，我们经常会遇到使用Frame来工作，而且有时是为了跟其他网站集成，应用到多域的情况下，而Iframe是不能保存Session的。因此，网 上可以找到很多相关的文章，如果网站可以采用设置Web.Config中的配 置：<sessionstate></sessionstate> mode="StateServer"
stateConnectionString="tcpip=127.0.0.1:42424"
sqlConnectionString="data source=127.0.0.1;Trusted_Connection=yes"
cookieless="false"
timeout="40"
/>
把 cookieless="false"改成"true"就可以了。但也同样有个小问题，就是如果页面中采用Javascript的 window.location.href=''这样的方式来重定向的话，系统会认为这是另一个新的请求，产生一个新的SessionId，导致原 Session同样的丢失。所以对于重定向，还是使用Response.Redirect()为好。

除了Ifrmae有丢Session问题外，frameset也有同样的问题。Frameset的问题更不确定，是有时会丢，有时不会丢，这更认人头痛，在网上找到了一个方法，在页面page_onload里添加一语句：Response.AddHeader("P3P","CP=CAO PSA OUR");
FrameSet中的Session丢失问题就解决了。

最简单的方法就是在iis里设置：图片如下：