iframe跨域与session失效问题

何为跨域session/cookie？

 

也就是第三方session/cookie。第一方session/cookie指的是访客当前访问的网站给访客的浏览器设置的seesion /cookie, 会被存储在访客的计算机上。第三方session/cookie指的是当前访问的网站中会加载（嵌入）另外第三方的网站代码，例如促销广告，那么第三方网 站也会在访客的计算机上添加session/cookie，这种就是第三方session/cookie。

 

我的问题

在开发讯息在线产品（http://iap.pgia.net）测试各种浏览器的兼容性时，发现IE浏览器（v7\8）都无法登录（总是提示验证码不匹配错误），而其它浏览器无此问题（firefox、百度等）。因此可以断定这和浏览器脱不了干系。

 

初步分析：

细查发现，在使用IE浏览器（v7\8）访问时，服务器端日志中显示sessionId一直在变化，每次请求都会产生一个全新的sessionId.

显然这是导致无法登录的直接唯一原因，如果解决这个问题则可正常登录。

 

深入分析：

为什么在IE浏览器（v7\8）上会出现这种情况呢，百度了解后得知：

出于隐私安全的考虑，IE会丢失Iframe中的Cookie，IE6/IE7支持的P3P(Platform for Privacy Preferences Project (P3P) specification)协议默认阻止第三方无隐私安全声明的cookie，Firefox、Chrome 不存在此问题。

我们知道Session 其实就是基于Cookie的。客户端在第一次与服务器建立会话时，会分配给客户端一个随机的sessionId，并存于客户端cookie中，然后在之后的请求中，会带上这个Cookie，如果在客户端找不到这样的Cookie，那么服务器就会重新分配一个。

而我的应用结构恰恰如此，即内置一个iframe嵌入远程应用来实现的。

 

解决办法：

要解决这个问题就是要在请求时添加“P3P”协议。那么如何实现呢？

在iframe框架嵌入的页面（就是你的iframe.src指向的远程页面，当然你要有控制它的权限）中加入如下代码：

<% 
// 解决IE7\8跨域访问问题
response.setHeader("P3P","CP=\"IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT\"");
%>

 至此，问题已解决，稍后再看请求的响应头部，会发现这样一项头部信息——P3P

 

评论

1 楼 liubey 2014-01-23  

这个貌似不错