注意 IE iframe 中 Session 值的设置

问题描述

        最近出于兴趣, 开发人人网的一款小应用, 应用页面通过 iframe 嵌在人人网页面中, 打开应用后需要用户授权, 人人网将返回的授权数据通过GET方法请求我的后台代码, 后台代码分析其中比较重要的几个参数存储在Session中, 可是在IE中怎么试都跟没设置Session似的, 而用Chrome则完全正常. 我用Fiddler调试了很久, 跟哥哥也讨论了几个方法, 但一开始我一直以为是URL中含有'-'符号所致, 使用各种Encode, 还尝试着将Response.Redirect 改为Server.Transfer, 但都无效, 这个问题困扰我好几天.

        通过网上大量的搜索发现原来IE的iframe有特殊之处, 默认情况下, IE如果发现iframe的域和父页面的域不同, 则会禁止iframe页面写入Cookie(Session在默认情况下就是通过Cookie保存一个SessionID的). 如果将IE设置->隐私的级别调至最低, 也就是接受任何Cookie, 那么是运行正常的.

解决办法

        在IIS的 HTTP Response Headers 中添加一行, 名字为: p3p, 值设置为: CP="IDC DSP COR CURa ADMa OUR IND PHY ONL COM STA"

参考

1. http://stackoverflow.com/questions/6368750/session-variables-not-saved-when-page-is-in-an-iframe

2. http://aspnetresources.com/blog/frames_webforms_and_rejected_cookies

3. http://support.microsoft.com/kb/283185/zh-cn