Frameset导致Cookies和Session丢失的原因及解决办法

1.Frameset导致Cookies和Session丢失的原因及解决办法 

使用框架(Frameset)调用不同域名下的页面，会出现此域下页面的Cookies和Session丢失的现象。
 
原因：基于IE6.0对W3C 关于cookie的P3P协议的支持，使用框架调用不同域下的页面，默认情况下IE会自动禁用此域下的Cookies，因此会出现Cookies和Session丢失的现象。
 
解决方法：在Frame调用的页面里加上Response header确认信息。
 

<% Response.AddHeader "P3P","CP=NOI DSP COR NID ADMa OPTa OUR NOR"  %>
 
参考文件：http://support.microsoft.com/default.aspx?scid=KB;EN-US;Q323752

2.使用frame注意session陷阱 
最初发现特定情况下使用frame会导致生成多个session是很久以前的事了，今天突然想起来觉得有必要做个总结，毕竟这种情况还是比较隐蔽的，那么什么时候使用frame会产生多个session呢，产生多个session后又会产生什么样的麻烦呢？隐蔽在哪里呢？
 
1.什么时候使用frame会产生多个session
 
不管是frameset还是iframe，只要frame所在文件是htm或html的时候，即静态网页时就会产生多个session，至于几个session和frame的个数是相等的。使用jsp就不会产生多个session。
 
2.产生多个session后又会产生什么样的麻烦呢？
 
带来的麻烦是不预期的，比如在其中一个frame中向session中存放了对象，但是在另一个frame中是拿不到这个对象的，因为不是一个session。
 
3.隐蔽在哪里呢？
 
虽然一次产生了多个session，但是无论那个frame页面进行刷新都只会使用最后一个session，所以对程序员来说很难发现。
 
最后，如何来证明上面的事实呢，我写了一段验证代码。
 
//  left.jsp

sessionId:<%=session.getId()%>

<%session.setAttribute("test","test");%>



//  right.jsp

sessionId:<%=session.getId()%>

attribute:<%=session.getAttribute("test")%>



//  frameset.htm和frameset.jsp相同

<html>

<head>

<title></title>

</head>

<frameset rows="*" cols="400,*" >

    <frame src="left.jsp" />

    <frame src="right.jsp"/>

</frameset>

</html>

//  ifameTest.htm和ifameTest.jsp相同

<html>

<head>

<title></title>

</head>

<body>

<iframe src="left.jsp" height="200" width="300"></iframe>

<iframe src="right.jsp" height="200" width="300"></iframe>

</body>

</html>
 
 
发布到tomcat上，分别访问下面4个文件即可，注意每次测试过一种情况后要重启浏览器。 ifameTest.htm ifameTest.jsp frameset.htm frameset.jsp
 
注意观察比较session id 就可以发现问题，非常直观。

----------------
3. iframe，Frame中关于Session丢失的解决方法 
转载：http://blog.csdn.net/aspgreener/archive/2007/09/05/1772920.aspx
 
在开发中，我们经常会遇到使用Frame来工作，而且有时是为了跟其他网站集成，应用到多域的情况下，而Iframe是不能保存Session的。因此，网上可以找到很多相关的文章，如果网站可以采用设置Web.Config中的配置：<sessionstate></sessionstate> mode="StateServer"
 stateConnectionString="tcpip=127.0.0.1:42424"
 sqlConnectionString="data source=127.0.0.1;Trusted_Connection=yes"
 cookieless="false" 
timeout="40" 
/>
 把cookieless="false"改成"true"就可以了。但也同样有个小问题，就是如果页面中采用Javascript的window.location.href=''这样的方式来重定向的话，系统会认为这是另一个新的请求，产生一个新的SessionId，导致原Session同样的丢失。所以对于重定向，还是使用Response.Redirect()为好。
 
除了Ifrmae有丢Session问题外，frameset也有同样的问题。Frameset的问题更不确定，是有时会丢，有时不会丢，这更认人头痛，在网上找到了一个方法，在页面page_onload里添加一语句：
 Response.AddHeader("P3P","CP=CAO PSA OUR");
 FrameSet中的Session丢失问题就解决了。至于里面具体的原因 也没时间去搞懂了。 
--------------------
4 IE中使用IFrame或Frameset导致session丢失的问题 


整合客户的登录时，或者其他一个网站通过iframe时,特别是一个http页面，访问一个https页面时，常常会

session失效！

1、由于IE的安全限制，将父页面所在域加入信任站点就OK了！

2、当“父”页面是https的，通过IFrame去访问https页面时，

<iframe name="loginFrame" id="loginFrame" frameborder=NO scrolling=NO src="" class="iframeBody" ></iframe>

   会报“有不安全的信息”

   解决： src="/" 就OK！

3、当客户设置了1时，还是不行时，怎么办呢？又查询了一些网上的资料！(
本文转载自：http://wwww.javaeye.com/blog/420145)

    IE6/IE7支持的P3P(Platform for Privacy Preferences Project (P3P) specification)协议默认阻止第三方无隐私安全声明的cookie，Firefox目前还不支持P3P安全特性，firefox中自然也不存在此问题了。

    在frameset里面，也就是里面的frame是来自第三方站点(不同IP或不同域名)，那么默认情况下IE会自动禁用这些站点的cookie，也就是在请求某url时在HTTP header里不发送它们的cookie，包括session的cookie。注意，这些站点在response里面设置的cookie还是会被发送到浏览器的。

在用户浏览a.php时 a.com写入的为第一方Cookie,其嵌入的iframe 指向b.php.这时b.com写入的就为第三方Cookie了，所以它是被IE挡在了大门外。所以,每次当用户提交的cookie提交时,就挂掉了.因为传不到真实的服务器.

 

解决方案

   1、PHP程序

      可以直接在B网站中写入
      <?php

        header('P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"')
      ?>

      这样就能接受第三方的Cookie/Session啦。

   2、lighttpd的服务器

      server.modules    = ("mod_setenv")

      setenv.add-response-header = ( "P3P" => "CP='CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR'")

   3、apache的服务器

      <VirtualHost>

         Header set P3P 'CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"'

      </VirtualHost>

   4、IIS的服务器

      增加一个网站http头来解决问题；

      管理 工具——〉选择一个网站 ——〉属性——〉http头，增加一个http头

      然后输入头名：P3P

     输入头内容：CP=CAO PSA OUR

   5、jsp页面：

      <%

          response.setHeader("P3P","CP=CAO PSA OUR");

      %>