P3P头的副作用

最新推荐文章于 2023-11-23 02:44:41 发布
最新推荐文章于 2023-11-23 02:44:41 发布
阅读量564 收藏 2
点赞数
分类专栏: web安全 # 白帽子讲WEB安全 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Code_Aape/article/details/107350536
版权

P3P Header是W3C制定的一项关于隐私的标准,全称The Platform for Privacy Preferences

主要应用

主要用于类似广告等需要跨域访问的页面。

P3P引发的安全问题

  • 本来一些浏览器(如IE,Safari)是拦截第三方Cookie发送的,一定程度上降低了CSRF的威力。
  • 但是如果网站返回给浏览器的HTTP头中包含有P3P头,则在某种程度上来说,将允许浏览器发送第三方Cookie,即使是IE下的<iframe> <script>标签。
  • P3P头设置之后,对于Cookie的影响将扩大到整个域中的所有页面,因为Cookie是以域和path位单位的,这并不符合“最小权限”原则。
  • P3P头目前应用广泛,所以不能依赖于浏览器对Cookie的拦截策略,在防御CSRF的时候不能心存侥幸
5mack
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
P3P Header解决Cookie跨域的问题
01-21
P3P   P3P是一種被稱為個人隱私安全平臺項目(the Platform for Privary Preferences)的標準,能夠保護在線隱私權,使Internet衝浪者可以選擇在瀏覽網頁時,是否被第三方收集並利用自己的個人信息。如果一個站點不遵守P3P標準的話,那麼有關它的Cookies將被自動拒絕,並且P3P還能夠自動識破多種Cookies的嵌入方式。P3P是由全球資訊聯盟網所開發的。 例子   當頁面存在iframe時,想要獲取iframe框架裏面的cookie,就要在iframe相應的動態頁面裏面添加P3P Header信息,否則在IE下獲取不到。因為IE有安全策略,限制頁面不
简单介绍 P3P 技术
热门推荐
蝈蝈俊.net
11-27 1万+
以 Internet Explorer 为例,默认情况下,IE的隐私策略如下图所设: (图一) 请注意其中这一条:阻止保存可用来联系您的信息而没有您的明确同意的第三方Cookie。 下面我们首先来演示一下,这一条起作用的情况: 站点 b.com 有这样一个网页: http://b.com/WebApp_P3P/p3p.htm  这个页面的源代码如下: !DOCTYPE html PUB
利用P3P跨域传COOKIE
hong_fu的专栏
07-11 745
我只写一个大概,为了测试的方便,先编辑hosts文件,加入测试域名(C:/WINDOWS/system32/drivers/etc/hosts)127.0.0.1       www.a.com127.0.0.1       www.b.com首先:创建 a_setcookie.php 文件,内容如下://header(P3P: CP="CURa ADMa DEVa PSAo PSD
Fiddler工具 — Fiddler检查器(Inspectors)详解
公众号【伤心的辣条】资料领取~
06-11 1472
Inspectors意思是检查器。Inspectors可以使用多种方式,查看请求的请求报文和响应报文相关信息。 Inspectors页签分为上下两部分,上部显示的是所发出请求的相关信息,下部显示的是所接收对应响应的相关信息。 所在位置,如下图所示: 1、请求报文内容 Inspectors面板中请求报文部分,如下图: 请求报文中各标签含义说明: 2、响应报文内容 Inspectors面板中响应报文部分,如下图: 响应报文中各标签含义说明: 提示:P3P是一种标准,使Internet冲浪者可以选择.
Web安全】跨站点请求伪造CSRF
RexHa的博客
10-14 1103
大多数CSRF攻击发起时,使用的HTML标签都是、、等带src属性的标签,这类标签只能发起一次Get请求而不能发起Post请求,而对于很多网站的应用来说,一些重要操作未严格区分GET和POST,攻击者可以使用GET来请求表单的提交地址。黑客伪造一个假的页面,当用户访问该页面后,黑客就会利用你的身份向第三方站点发送一个恶意请求,从而达到某些目的,例如以你的名义发送邮件、发消息,将你卡里的钱转走,删除某篇博客文章等等。如果用户提交了表单,则应重新生成一个Token。
p3p http header java,P3P Header解决Cookie跨域的问题
weixin_30909805的博客
03-12 339
P3PP3P是一種被稱為個人隱私安全平臺項目(the Platform for Privary Preferences)的標準,能夠保護在線隱私權,使Internet衝浪者可以選擇在瀏覽網頁時,是否被第三方收集並利用自己的個人信息。如果一個站點不遵守P3P標準的話,那麼有關它的Cookies將被自動拒絕,並且P3P還能夠自動識破多種Cookies的嵌入方式。P3P是由全球資訊聯盟網所開發的。例子當...
PHP如何利用P3P实现跨域
10-26
在开发中,我们碰到的跨域主要还是纠结在IE,页面中的IFRAME或者FRAME或者JS跨域的时候,IE有安全策略限制页面不带cookie,但是如果我们加上P3P,就没有这策略的限制。这也是P3P来突破跨域的可行前提
P3P位姿测量方法的误差分析
02-23
从工程应用的角度出发,在三个控制点构成等腰三角形的条件下,研究P3P 位姿测量方法的误差与输入参数误差的关系。首先在理论上推导出测量位姿误差与输入参数误差间的关系,在此基础上通过误差统计分析和直接仿真验证...
P3P算法整理1
08-03
P3P算法整理 P3P算法是计算机视觉中的一种基础算法,用于解决 Perspective-Three-Point 问题,也即PnP问题的特殊情况。在P3P算法中,使用已知的3个参考点间的几何关系,应用余弦定理列写方程组,之后对方程组进行...
HTTP的header中P3P(Platform for Privacy Preferences 常见字段解析
最新发布
antarctica5566的博客
11-23 299
对HTTPP3P协议的部分翻译整理。 P3 P主要包含定义如何保护用户隐私数据。 通常我们最常见的就是iframe嵌套时cookie存取问题
php p3p session,【转】PHP有关跨域的请求header("P3P: CP=CURa ADMa...)cookie -session解决方法...
weixin_29907111的博客
03-12 198
对于IE来说(默认安全级别下),iframe、img、link等标签都是只发送session cookie(又叫 第一方cookie),拦截本地cookie发送(又叫第三方cookie)。当这些标签跨域引用一个页面,实际上是发起了一次GET请求。在php文件部加 header('P3P:CP="IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HI...
关于Cookie中header("P3P: CP=CURa……")
12-20 1660
对于IE来说(默认安全级别下),iframe、img、link等标签都是只发送session cookie(又叫 第一方cookie),拦截本地cookie发送(又叫第三方cookie)。当这些标签跨域引用一个页面,实际上是发起了一次GET请求。<br /><br />如果这个跨域的请求,HTTP返回中带有Set-Cookie , 那么这个cookie对浏览器来说,实际上是无效的。<br /><br />看如下测试<br /><br />假设有 www.a.com    与 www.b.com 两个域<b
p3p php 单点登录,p3p header在单点登录的cookie跨域中的应用
weixin_30767365的博客
03-27 164
场景一:A网站全站均为UTF-8编码,B网站全站为GB2312编码。A网站提供一段JS代码供B网站调用,该代码会动态生成一个FORM表单,以收集提交上来的数据。B网站此时开始提交数据,但提交上来的中文均为乱码 。现象的产生是由于二个网站编码不一致而导致的,一般情况下使二个网站的编码一致即可。如果无法统一编码该怎么办?FORM有一个accept-charset属性...测试成功,但在IE下不成功,需...
php利用P3P实现跨域设置cookie
lhorse003的博客
05-21 2781
在开发中,我们碰到的跨域主要还是纠结在IE,页面中的IFRAME或者FRAME或者JS跨域的时候,IE有安全策略限制页面不带cookie,但是如果我们加上P3P,就没有这策略的限制。这也是P3P来突破跨域的可行前提,其实在firefox chorme类浏览器里面是没有这个限制的。 首先我们了解一下P3P是什么? P3P(Platform for Privacy Preferences)是W3C
P3P header解决iframe跨域访问cookie
hello_IT_的博客
07-22 539
浏览器的第三方 cookie 限制 所谓第三方 cookie,就是说你访问网页 A,却接收到域名 B 的 cookie 设定指令。这可能是由于网页 A 请求或链接了 B 的网页,比如上面提到的 iframe 以及 jsonp。 我查到了各个浏览器对于跨域的处理规则,可以看到第三方 cookie ,IE 在默认设置中是做了限制的。 不同浏览器的第三方cookie规则 IE FireFox Chrome Safari Opera 限制第三方coookie 是 否 否 否 否 用户访问的流程
学习P3P
qq_38766208的博客
09-03 3382
P3P 是另一种解 PnP 的方法。它仅使用三对匹配点,对数据要求较少。 P3P 需要利用给定的三个点的几何关系。它的输入数据为三对 3D-2D 匹配点。记 3D点为 A,B,CA, B, CA,B,C, 2D 点为 a,b,ca, b, ca,b,c,其中小写字母代表的点为大写字母在相机成像平面上的投影。此外, P3P 还需要使用一对验证点,以从可能的解出选出正确的那一个(类似于对极几何情形)。记验证点对为 D−dD−dD−d,相机光心为 OOO。请注意,我们知道的是 A,B,CA, B, CA,B,C
跨域(cross-domain)访问 cookie (读取和设置)
冯友华的专栏
06-29 502
Passport 一方面意味着用一个帐号可以在不同服务里登录,另一方面就是在一个服务里面登录后可以无障碍的漫游到其他服务里面去。坦白说,目前 sohu passport 在这一点实现的很烂(不过俺的工作就是要把它做好啦,hehe) 搜狐的 SSO 需求比较麻烦,因为它旗下有好多域名:sohu.com、chinaren.com、sogou.com、focus.cn、17173.com、go2map....
通过P3P实现跨域设置cookie
weixin_30894389的博客
02-06 228
PHP的setcookie函数可以设置域,但是只能在当前域内,如果出现多域可由如下办法处理:实现原理:www.b.com/set_cookie.php 在b域名下设置a域名的cookie <script src="http://www.a.com/set_cookie.php"></script> www.a.com/get_cookie.php 在...
java p3p header_用P3P header解决iframe跨域访问cookie(转)
weixin_36382907的博客
02-13 349
Asp.net cookie跨域解决方法,一下午烦死了,终于找到解决方法了谢谢这位大牛,收下了目前在整合几个应用时,遇到了iframe无法获取cookie(session)的问题,经过google,终于把这个问题解决了,现在记录一下。我的需求是这样的。有一个应用是用.net开发的,主要是控制用户登录,用户访问权限的,部署在上海机房。现在就叫A应用吧还有一个应用是用java开发,主要是具体业务的操作...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值