用P3P header解决iframe跨域访问cookie
浏览器的第三方 cookie 限制
所谓第三方 cookie,就是说你访问网页 A,却接收到域名 B 的 cookie 设定指令。这可能是由于网页 A 请求或链接了 B 的网页,比如上面提到的 iframe 以及 jsonp。
我查到了各个浏览器对于跨域的处理规则,可以看到第三方 cookie ,IE 在默认设置中是做了限制的。
| IE | FireFox | Chrome | Safari | Opera | |
| 限制第三方coookie | 是 | 否 | 否 | 是 | 否 |
用户访问的流程是这样的:
1.用户先在A处登录,A设自己的cookie,在A的菜单里有去B应用的链接
2.当用户点去B应用的链接时,A在链接上自动加上这个用户的token,传给B系统
3.当B系统接收到请求后,把这个用户的token信息设成自己系统的cookie,(B系统里有表单post操作,如果不设cookie,session,那么每个请求不管GET还是POST都要明确带着该用户的token信息,对于系统的改造量比较大,另外以后换权限验证方法改动也比较大。)
4.用户在B系统里的每次操作都没有明码带用户的token,所以每次都要去cookie得到token信息,然后发送一个http请求去A,让A系统验证这个用户是否有权限访问。
5.如果A系统的接口返回可以访问的状态报告,那么B继续执行;如果A系统指示没有权限访问,那么B系统提示访问受控警告信息。
IE不允许跨域访问cookie(好象firefox没问题,ie自6.0以后改用w3c组织的P3P协议了),再看看我的应用,在第二步设的cookie,在第三步以后所有B应用的访问请求,ie都把B应用的cookie blocked掉了(因为用户的访问是从A应用发起,从A应用访问B应用,算跨域访问,IE认为有安全问题)。。。。(IE状态栏有一个红眼睛的button,点开可以看到哪些cookie给blocked掉了)
P3P?
P3P 全称 Platform for Privacy Preferences,隐私设定平台规范。这个规范极其复杂,若要讲清楚,天都黑了一半。简言之,就是网站向浏览器声明自己的隐私政策,比如网站是否搜集访问者的个人信息,设置 cookie 的用途等等。浏览器会依据设置,决定在第三方请求的条件下是否接受网站的 cookie。
完整地部署 P3P 包括设立隐私政策文件(policy.html)、原则档(policy.xml)、参考档(p3p.xml),有兴趣详细了解的可以参考 MSDN 中关于部署 P3P 的文章。
部署方法比较简单的方法的,就是发送 P3P 相关的 HTTP header。
ASP.NET:
1 HttpContext.Current.Response.AddHeader("p3p", "CP=\"IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT\"");
PHP:
1 header('P3P:CP="IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT"');
Java:
1 response.setHeader("P3P","CP='IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT'");
其中CP=“XXX XXXX”这些是有具体含义的:
CP就是 compact policies 的意思,
另外header的值也可以是 policyref="http://myhost/P3P/PolicyReferences.xml" ,就是指定一个策略文件。
具体请看这里.
下面是摘抄的一段Compact Policies的具体取值范围和设值含义。
Compact Policies
Compact policies are essentially summaries of P3P policies. They can be used by user agents to quickly get approximate information about P3P policies, therefore improving performance.
For an in-depth explanation of compact policies, we refer to the P3P1.0[4] specification. Here, we limit to stating the syntax:
compact-policy-field = `CP="` compact-policy `"` compact-policy = compact-token *(" " compact-token) compact-token = compact-access | compact-disputes | compact-remedies | compact-non-identifiable | compact-purpose | compact-recipient | compact-retention | compact-categories | compact-test compact-access = "NOI" | "ALL" | "CAO" | "IDC" | "OTI" | "NON" compact-disputes = "DSP" compact-remedies = "COR" | "MON" | "LAW" compact-non-identifiable = "NID" compact-purpose = "CUR" | "ADM" [creq] | "DEV" [creq] | "TAI" [creq] | "PSA" [creq] | "PSD" [creq] | "IVA" [creq] | "IVD" [creq] | "CON" [creq] | "HIS" [creq] | "TEL" [creq] | "OTP" [creq] creq = "a" | "i" | "o" compact-recipient = "OUR" | "DEL" [creq] | "SAM" [creq] | "UNR" [creq] | "PUB" [creq] | "OTR" [creq] compact-retention = "NOR" | "STP" | "LEG" | "BUS" | "IND" compact-category = "PHY" | "ONL" | "UNI" | "PUR" | "FIN" | "COM" | "NAV" | "INT" | "DEM" | "CNT" | "STA" | "POL" | "HEA" | "PRE" | "LOC" | "GOV" | "OTC" compact-test = "TST"
另外这里还有一个P3P的验证工具:http://www.w3.org/P3P/validator.html,可以验证一下自己设置的P3P是否正确。
参考:
使用 P3P 规范让 IE 跨域接受第三方 cookie
用P3P header解决iframe跨域访问cookie
The HTTP header for the Platform for Privacy Preferences 1.0 (P3P1.0)
