IE中iframe跨域丟失Session問題(續 p3p)

原創 guchuanlong 2020-07-03 00:22

轉自:http://www.neatstudio.com/show-1390-1.shtml


P3P,不算是新名詞,但還是有些人不清楚。事實上我也不清楚。。。在百度上看到有這玩意就備份下來。說真的,我只是知道用,但不知道爲什麼用。額。。很明顯,因爲在ucenter同步的時候,在discuz的ui/api裏有寫過。

看內容吧。。。。

IE6/IE7支持的P3P(Platform for Privacy Preferences Project (P3P) specification)協議默認阻止第三方無隱私安全聲明的cookie,Firefox目前還不支持P3P安全特性,firefox中自然也不存 在此問題了。

在frameset裏面,也就是裏面的frame是來自第三方站點(不同IP或不同域名),那麼默認情況下IE會自動禁用這些站點的cookie, 也就是在請求某url時在HTTP header裏不發送它們的cookie,包括session的cookie。注意,這些站點在response裏面設置的cookie還是會被髮送到瀏 覽器的。

在用戶瀏覽a.php時 A.com寫入的爲第一方Cookie,其嵌入的iframe指向 b.php.這時B.com寫入的就爲第三方Cookie了,所以它是被IE當在了大門外。 所以,每次當用戶提交的cookie提交時,就掛掉了.因爲傳不到真實的服務器.

解決方案.

PHP程序,可以直接在B網站中寫入

PHP代碼
  1. <?php  
  2. header('P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"');  
  3. ?>  
這樣就能接受第三方的Cookie啦。

 

lighttpd的服務器

XML/HTML代碼
  1. server.modules    = ("mod_setenv")  
  2. setenv.add-response-header = ( "P3P" => "CP='CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR'")  
apache的服務器
XML/HTML代碼
  1. <VirtualHost>  
  2. Header set P3P 'CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"'  
  3. </VirtualHost>  
IIS的服務器

增加一個網站http頭來解決問題;
管理工具——〉選擇一個網站——〉屬性——〉 http頭,增加一個http頭
然後輸入頭名:P3P
輸入頭內容:CP=CAO PSA OUR

jsp頁面:

XML/HTML代碼
  1. <%  
  2. response.setHeader("P3P","CP=CAO PSA OUR");  
  3. %>  
java代碼最簡單的辦法,增加一個filte:
Java代碼
  1. public class TransNameFilter extends HttpServlet implements Filter {  
  2. private static org.apache.commons.logging.Log logWriter =  
  3.    LogFactory.getLog(TransNameFilter.class.getName());  
  4.   
  5. /** 
  6. * 
  7. */  
  8. public TransNameFilter() {  
  9.    super();  
  10.   
  11. }  
  12. /* (非 Javadoc) 
  13.    * @see javax.servlet.Filter#init(javax.servlet.FilterConfig) 
  14.    */  
  15. public void init(FilterConfig arg0) throws ServletException {  
  16.   
  17. }  
  18.   
  19. /* (非 Javadoc) 
  20. * @see javax.servlet.Filter#doFilter(javax.servlet.ServletRequest, javax.servlet.ServletResponse, javax.servlet.FilterChain) 
  21. */  
  22. public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)  
  23.    throws IOException, ServletException {  
  24.   
  25.    HttpServletRequest hreq = (HttpServletRequest) request;  
  26.    String transName = hreq.getParameter("transName");  
  27.    if (Util.isNullOrEmpty(transName)) {  
  28.     logWriter.fatal(" there is no transName for this request");  
  29.    } else {  
  30.   
  31.     logWriter.info(" transName is " + transName);  
  32.    }  
  33.     
  34.    HttpServletResponse res = (HttpServletResponse) response;  
  35.         //iframe引起的內部cookie丟失  
  36.    res.setHeader("P3P","CP=CAO PSA OUR");  
  37.    if (chain != null)  
  38.     chain.doFilter(request, response);  
  39.   
  40. }  
  41.   
  42. /* (非 Javadoc) 
  43.    * @see javax.servlet.Filter#destroy() 
  44.    */  
  45. public void destroy() {  
  46.   
  47. }  
  48.   
  49. }  


發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

web.xml中classpath:和classpath*:的區別

在web項目中,web.xml文件往往看到classpath和classpath*:的配置。classpath指的是WEB-INF文件夾下的classes目錄。 classes目錄是個定位資源的入口: 1、class文件的存放,

H阿布 2020-07-08 11:03:32

Struts 2中的constant含義

通過對這些屬性的配置,可以改變Struts 2 框架的一些默認行爲,這些配置可以在struts.xml文件中完成。 1 <constant name="struts.i18n.encoding" value="UTF-8" /> 指定We

IT小man 2020-07-08 07:11:55

Java:MyBatis3新手簡單入門

發現網上給的mybatis的例子有的配置完了但是也是不成功的。所以特意寫了本文,幫助mybatis入門. iBatis更名爲MyBatis,作出了些修改.如以前使用SqlMapClient進行數據庫操作,現在使用SqlSession 首先

IT小man 2020-07-08 07:11:55

單元測試與Spring整合的struts2中的action

環境描述:Struts2  + Spring2.5   +  hibernate3 +  junit4 目的:對後臺Action層的函數進行單元測試 需要的Jar包:junit4.jar(eclipse自帶的,在項目路徑中導入即可。“pr

lhl19931026 2020-07-08 05:50:24

在線顯示

word: BufferedInputStream bis = null;  URL url = null;  HttpURLConnection h

jiunizhuai 2020-07-08 05:11:01

【轉】構建高性能J2EE應用的10個技巧

構建高性能的J2EE應用不但需要了解常用的實施技巧。下面介紹最常用的10種有效方法,可幫助架構設計師們快速成爲這方面的專家。     Java性能的基

jiunizhuai 2020-07-08 05:11:00

不同平臺下處理【java.lang.OutOfMemoryError: Java heap space】內存溢出。

這個問題的根源是jvm虛擬機的默認Heap大小是64M,可以通過設置其最大和最小值來實現.設置的方法主要是幾個. 1.可以在windows 更改系統

减肥啊啊啊啊啊 2020-07-07 20:48:28

java跨平臺運行【有關路徑獲取】

最近需要把項目發佈到linux裏。 總以爲很簡單就可以支持跨平臺。 但其實不然。 java中很多api還是不知道的。 windows下的項目到linux就出現路徑的問題啦。 windows系統下的路徑分隔符是\ linux系統下的路徑分

减肥啊啊啊啊啊 2020-07-07 20:48:28

仿淘寶篩選模塊功能

仿淘寶篩選模塊總結: 需求: 1、 點擊一個商品後,顯示出該商品的篩選條件(因爲符合此id號的商品有海量數據,要找到自己想要的,就需要給出篩選條件。

减肥啊啊啊啊啊 2020-07-07 20:48:28

log4j slf4j logback

項目一直在用Log4j作爲日誌框架,最近發現不少開源應用都開始採用slf4j,不禁好奇google了一下slf4j的介紹:簡單日記門面(Facade)

iteye_13008 2020-07-07 14:51:56

EJB調用失敗問題

Forwarded IOR failed with: java.net.UnknownHostException: wid:host=wid,port=9100Initial IOR failed with: java.net.Unkno

iteye_13008 2020-07-07 14:51:56

JMS與Java消息中間件

 JMS是一種企業消息傳送的API,並不是MOM消息中間件系統的全部,JMS也是一種規範,類似於JDBC,我們通JMS API訪問 JMS的服務器。目前JMS服務器的主要產品有 IBM WebSphere MQ、SonicMQ、Sun

c929833623lvcha 2020-07-07 13:22:43

Log4j拿到當前執行語句的實現

LoggingEvent中的 public LocationInfo getLocationInformation() { if(locationInfo == null) { locationInfo = ne

c929833623lvcha 2020-07-07 13:22:32

Html中的,,標籤的使用

1. <em>和<strong>標籤是爲了強調一段話中的關鍵字時使用,它們的語義是強調。    語法:         <em>需要強調的文本</em>          <strong>需要強調的文本</strong> 2. <span

赵信说一点寒芒先到 2020-07-08 09:38:31

前端攻城師所要掌握的知識和技能

一名前端攻城師所要掌握的知識和技能,直接附上圖片 看完之後發現我要學習的東西還有很多很多。 PS:博客搬家了,以後不再 CSDN 更新了,見諒。最新博客地址:http://www.cnblogs.com/yjzhu/

athrunzero 2020-07-07 22:29:39