iframe跨域导致session丢失
问题描述:
在一个应用(domain:A)的某个page中,通过IFrame的方式嵌入另一个应用(domain:B)的某个页面.当两个应用的domain
不一样时,在被嵌入的页面中不允许使用cookie(即使用cookie实现的session会失效).
问题分析:
在XPSP2和IE6之后,从安全性角度考虑,默认状态下不允许在iframe里使用跨站点cookie。
解决方案:
1.修改Client的设置
使Client可以接受来自任何网站的Cookie(具体设置在IE选项的隐私页中)(测试通过).
或者将两个domain都设置为受信息站点(测试通过).
2.应用的domain修改
简单方案:两个应用使用同一个domain(没有测试).
复杂方案:可以在iframe加载的页面里通过setdomain来强制更改(没有测试).
3.P3P
第一种:在要嵌入的内容中(iframe指向的站点)输出P3P的主机头声明,步骤如下:
>打开IIS管理器inetmgr
>选择被嵌入iframe源站点或者目录,右键点击打开属性框
>切换到HTTP头
>添加
>自定义HTTP头名:P3P
>自定义HTTP头值:CP="CAOPSAOUR"
>关闭属性框退出,即刻生效
第二种:在被嵌入页面page_onload里添加一语句:response.addHeader("P3P","CP=CAOPSAOUR")(测试通过);
相关推荐
架构技术交流 2020-07-28
haohong 2020-07-18
tiankele0 2020-06-26
xiangxiaojun 2020-06-25
pythonclass 2020-06-04
WebVincent 2020-06-03
sixthelement 2020-05-30
云之高水之远 2020-05-19
云之高水之远 2020-05-17
Chydar 2020-05-15
tuxlcsdn 2020-04-17
ajaxtony 2020-02-03
STPace 2020-02-03
学留痕 2013-05-11
云之高水之远 2020-01-05
TONIYH 2019-12-20
nimeijian 2019-12-15
我只是个程序员 2014-01-18