1.Frameset导致Cookies和Session丢失的原因及解决办法
使用框架(Frameset)调用不同域名下的页面,会出现此域下页面的Cookies和Session丢失的现象。
原因:基于IE6.0对W3C 关于cookie的P3P协议的支持,使用框架调用不同域下的页面,默认情况下IE会自动禁用此域下的Cookies,因此会出现Cookies和Session丢失的现象。
解决方法:在Frame调用的页面里加上Response header确认信息。
<% Response.AddHeader "P3P","CP=NOI DSP COR NID ADMa OPTa OUR NOR" %>
参考文件:http://support.microsoft.com/default.aspx?scid=KB;EN-US;Q323752
2.使用frame注意session陷阱
最初发现特定情况下使用frame会导致生成多个session是很久以前的事了,今天突然想起来觉得有必要做个总结,毕竟这种情况还是比较隐蔽的,那么什么时候使用frame会产生多个session呢,产生多个session后又会产生什么样的麻烦呢?隐蔽在哪里呢?
1.什么时候使用frame会产生多个session
不管是frameset还是iframe,只要frame所在文件是htm或html的时候,即静态网页时就会产生多个session,至于几个session和frame的个数是相等的。使用jsp就不会产生多个session。
2.产生多个session后又会产生什么样的麻烦呢?
带来的麻烦是不预期的,比如在其中一个frame中向session中存放了对象,但是在另一个frame中是拿不到这个对象的,因为不是一个session。
3.隐蔽在哪里呢?
虽然一次产生了多个session,但是无论那个frame页面进行刷新都只会使用最后一个session,所以对程序员来说很难发现。
最后,如何来证明上面的事实呢,我写了一段验证代码。
// left.jsp
sessionId:<%=session.getId()%>
<%session.setAttribute("test","test");%>
// right.jsp
sessionId:<%=session.getId()%>
attribute:<%=session.getAttribute("test")%>
// frameset.htm和frameset.jsp相同
<html>
<head>
<title></title>
</head>
<frameset rows="*" cols="400,*" >
<frame src="left.jsp" />
<frame src="right.jsp"/>
</frameset>
</html>
// ifameTest.htm和ifameTest.jsp相同
<html>
<head>
<title></title>
</head>
<body>
<iframe src="left.jsp" height="200" width="300"></iframe>
<iframe src="right.jsp" height="200" width="300"></iframe>
</body>
</html>
发布到tomcat上,分别访问下面4个文件即可,注意每次测试过一种情况后要重启浏览器。 ifameTest.htm ifameTest.jsp frameset.htm frameset.jsp
注意观察比较session id 就可以发现问题,非常直观。
----------------
3. iframe,Frame中关于Session丢失的解决方法
转载:http://blog.csdn.net/aspgreener/archive/2007/09/05/1772920.aspx
在开发中,我们经常会遇到使用Frame来工作,而且有时是为了跟其他网站集成,应用到多域的情况下,而Iframe是不能保存Session的。因此,网上可以找到很多相关的文章,如果网站可以采用设置Web.Config中的配置:<sessionstate></sessionstate> mode="StateServer"
stateConnectionString="tcpip=127.0.0.1:42424"
sqlConnectionString="data source=127.0.0.1;Trusted_Connection=yes"
cookieless="false"
timeout="40"
/>
把cookieless="false"改成"true"就可以了。但也同样有个小问题,就是如果页面中采用Javascript的window.location.href=''这样的方式来重定向的话,系统会认为这是另一个新的请求,产生一个新的SessionId,导致原Session同样的丢失。所以对于重定向,还是使用Response.Redirect()为好。
除了Ifrmae有丢Session问题外,frameset也有同样的问题。Frameset的问题更不确定,是有时会丢,有时不会丢,这更认人头痛,在网上找到了一个方法,在页面page_onload里添加一语句:
Response.AddHeader("P3P","CP=CAO PSA OUR");
FrameSet中的Session丢失问题就解决了。至于里面具体的原因 也没时间去搞懂了。
--------------------
4 IE中使用IFrame或Frameset导致session丢失的问题
整合客户的登录时,或者其他一个网站通过iframe时,特别是一个http页面,访问一个https页面时,常常会
session失效!
1、由于IE的安全限制,将父页面所在域加入信任站点就OK了!
2、当“父”页面是https的,通过IFrame去访问https页面时,
<iframe name="loginFrame" id="loginFrame" frameborder=NO scrolling=NO src="" class="iframeBody" ></iframe>
会报“有不安全的信息”
解决: src="/" 就OK!
3、当客户设置了1时,还是不行时,怎么办呢?又查询了一些网上的资料!(
本文转载自:http://wwww.javaeye.com/blog/420145)
IE6/IE7支持的P3P(Platform for Privacy Preferences Project (P3P) specification)协议默认阻止第三方无隐私安全声明的cookie,Firefox目前还不支持P3P安全特性,firefox中自然也不存在此问题了。
在frameset里面,也就是里面的frame是来自第三方站点(不同IP或不同域名),那么默认情况下IE会自动禁用这些站点的cookie,也就是在请求某url时在HTTP header里不发送它们的cookie,包括session的cookie。注意,这些站点在response里面设置的cookie还是会被发送到浏览器的。
在用户浏览a.php时 a.com写入的为第一方Cookie,其嵌入的iframe 指向b.php.这时b.com写入的就为第三方Cookie了,所以它是被IE挡在了大门外。所以,每次当用户提交的cookie提交时,就挂掉了.因为传不到真实的服务器.
解决方案
1、PHP程序
可以直接在B网站中写入
<?php
header('P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"')
?>
这样就能接受第三方的Cookie/Session啦。
2、lighttpd的服务器
server.modules = ("mod_setenv")
setenv.add-response-header = ( "P3P" => "CP='CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR'")
3、apache的服务器
<VirtualHost>
Header set P3P 'CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"'
</VirtualHost>
4、IIS的服务器
增加一个网站http头来解决问题;
管理 工具——〉选择一个网站 ——〉属性——〉http头,增加一个http头
然后输入头名:P3P
输入头内容:CP=CAO PSA OUR
5、jsp页面:
<%
response.setHeader("P3P","CP=CAO PSA OUR");
%>
使用框架(Frameset)调用不同域名下的页面,会出现此域下页面的Cookies和Session丢失的现象。
原因:基于IE6.0对W3C 关于cookie的P3P协议的支持,使用框架调用不同域下的页面,默认情况下IE会自动禁用此域下的Cookies,因此会出现Cookies和Session丢失的现象。
解决方法:在Frame调用的页面里加上Response header确认信息。
<% Response.AddHeader "P3P","CP=NOI DSP COR NID ADMa OPTa OUR NOR" %>
参考文件:http://support.microsoft.com/default.aspx?scid=KB;EN-US;Q323752
2.使用frame注意session陷阱
最初发现特定情况下使用frame会导致生成多个session是很久以前的事了,今天突然想起来觉得有必要做个总结,毕竟这种情况还是比较隐蔽的,那么什么时候使用frame会产生多个session呢,产生多个session后又会产生什么样的麻烦呢?隐蔽在哪里呢?
1.什么时候使用frame会产生多个session
不管是frameset还是iframe,只要frame所在文件是htm或html的时候,即静态网页时就会产生多个session,至于几个session和frame的个数是相等的。使用jsp就不会产生多个session。
2.产生多个session后又会产生什么样的麻烦呢?
带来的麻烦是不预期的,比如在其中一个frame中向session中存放了对象,但是在另一个frame中是拿不到这个对象的,因为不是一个session。
3.隐蔽在哪里呢?
虽然一次产生了多个session,但是无论那个frame页面进行刷新都只会使用最后一个session,所以对程序员来说很难发现。
最后,如何来证明上面的事实呢,我写了一段验证代码。
// left.jsp
sessionId:<%=session.getId()%>
<%session.setAttribute("test","test");%>
// right.jsp
sessionId:<%=session.getId()%>
attribute:<%=session.getAttribute("test")%>
// frameset.htm和frameset.jsp相同
<html>
<head>
<title></title>
</head>
<frameset rows="*" cols="400,*" >
<frame src="left.jsp" />
<frame src="right.jsp"/>
</frameset>
</html>
// ifameTest.htm和ifameTest.jsp相同
<html>
<head>
<title></title>
</head>
<body>
<iframe src="left.jsp" height="200" width="300"></iframe>
<iframe src="right.jsp" height="200" width="300"></iframe>
</body>
</html>
发布到tomcat上,分别访问下面4个文件即可,注意每次测试过一种情况后要重启浏览器。 ifameTest.htm ifameTest.jsp frameset.htm frameset.jsp
注意观察比较session id 就可以发现问题,非常直观。
----------------
3. iframe,Frame中关于Session丢失的解决方法
转载:http://blog.csdn.net/aspgreener/archive/2007/09/05/1772920.aspx
在开发中,我们经常会遇到使用Frame来工作,而且有时是为了跟其他网站集成,应用到多域的情况下,而Iframe是不能保存Session的。因此,网上可以找到很多相关的文章,如果网站可以采用设置Web.Config中的配置:<sessionstate></sessionstate> mode="StateServer"
stateConnectionString="tcpip=127.0.0.1:42424"
sqlConnectionString="data source=127.0.0.1;Trusted_Connection=yes"
cookieless="false"
timeout="40"
/>
把cookieless="false"改成"true"就可以了。但也同样有个小问题,就是如果页面中采用Javascript的window.location.href=''这样的方式来重定向的话,系统会认为这是另一个新的请求,产生一个新的SessionId,导致原Session同样的丢失。所以对于重定向,还是使用Response.Redirect()为好。
除了Ifrmae有丢Session问题外,frameset也有同样的问题。Frameset的问题更不确定,是有时会丢,有时不会丢,这更认人头痛,在网上找到了一个方法,在页面page_onload里添加一语句:
Response.AddHeader("P3P","CP=CAO PSA OUR");
FrameSet中的Session丢失问题就解决了。至于里面具体的原因 也没时间去搞懂了。
--------------------
4 IE中使用IFrame或Frameset导致session丢失的问题
整合客户的登录时,或者其他一个网站通过iframe时,特别是一个http页面,访问一个https页面时,常常会
session失效!
1、由于IE的安全限制,将父页面所在域加入信任站点就OK了!
2、当“父”页面是https的,通过IFrame去访问https页面时,
<iframe name="loginFrame" id="loginFrame" frameborder=NO scrolling=NO src="" class="iframeBody" ></iframe>
会报“有不安全的信息”
解决: src="/" 就OK!
3、当客户设置了1时,还是不行时,怎么办呢?又查询了一些网上的资料!(
本文转载自:http://wwww.javaeye.com/blog/420145)
IE6/IE7支持的P3P(Platform for Privacy Preferences Project (P3P) specification)协议默认阻止第三方无隐私安全声明的cookie,Firefox目前还不支持P3P安全特性,firefox中自然也不存在此问题了。
在frameset里面,也就是里面的frame是来自第三方站点(不同IP或不同域名),那么默认情况下IE会自动禁用这些站点的cookie,也就是在请求某url时在HTTP header里不发送它们的cookie,包括session的cookie。注意,这些站点在response里面设置的cookie还是会被发送到浏览器的。
在用户浏览a.php时 a.com写入的为第一方Cookie,其嵌入的iframe 指向b.php.这时b.com写入的就为第三方Cookie了,所以它是被IE挡在了大门外。所以,每次当用户提交的cookie提交时,就挂掉了.因为传不到真实的服务器.
解决方案
1、PHP程序
可以直接在B网站中写入
<?php
header('P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"')
?>
这样就能接受第三方的Cookie/Session啦。
2、lighttpd的服务器
server.modules = ("mod_setenv")
setenv.add-response-header = ( "P3P" => "CP='CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR'")
3、apache的服务器
<VirtualHost>
Header set P3P 'CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"'
</VirtualHost>
4、IIS的服务器
增加一个网站http头来解决问题;
管理 工具——〉选择一个网站 ——〉属性——〉http头,增加一个http头
然后输入头名:P3P
输入头内容:CP=CAO PSA OUR
5、jsp页面:
<%
response.setHeader("P3P","CP=CAO PSA OUR");
%>
3872
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
