IFrame中的Cookie问题

问题描述:

在一个应用(domain:A)的某个page中,通过IFrame的方式嵌入另一个应用(domain:B)的某个页面.当两个应用的domain

不一样时,在被嵌入的页面中不允许使用cookie(即使用cookie实现的session会失效).

问题分析:

在XPSP2和IE6之后，从安全性角度考虑，默认状态下不允许在iframe里使用跨站点cookie。

解决方案:

1.修改Client的设置

使Client可以接受来自任何网站的Cookie(具体设置在IE选项的隐私页中)(测试通过).

或者将两个domain都设置为受信息站点(测试通过).

2.应用的domain修改

简单方案:两个应用使用同一个domain(没有测试).

复杂方案:可以在iframe加载的页面里通过setdomain来强制更改(没有测试).

3.P3P

第一种:在要嵌入的内容中(iframe指向的站点)输出P3P的主机头声明，步骤如下：

>打开IIS管理器inetmgr

>选择被嵌入iframe源站点或者目录，右键点击打开属性框

>切换到HTTP头

>添加

>自定义HTTP头名:P3P

>自定义HTTP头值:CP="CAOPSAOUR"

>关闭属性框退出，即刻生效

第二种:在被嵌入页面page_onload里添加一语句：Response.AddHeader("P3P","CP=CAOPSAOUR")(测试通过);