Frameset引起的内部第三方站点cookie丢失的发现解决过程

最新推荐文章于 2024-09-27 20:40:55 发布
最新推荐文章于 2024-09-27 20:40:55 发布
阅读量637 收藏 1
点赞数
分类专栏: ASP.net 文章标签: weblogic sso session header 测试 filter

这段时间,开发一个门户网站的SSO集成,没想到最后部署时,被一个问题折磨了两天:在我机器上测试好的Java SSO服务器端应用和他们的PHP discuz论坛SSO集成时,总是Session丢失。

我的开发环境:
SSO应用负责登录和退出,以及账号同步的Web Services(REST方式),它部署在WebLogic8.14上,WebLogic上还有其它Java Web应用需要集成。Discuz论坛必须集成到SSO。
SSO部署到本机的WebLogic,并且php论坛也部署在本机。

客户那边的环境:
WebLogic和Discuz在不同的机器上,当然也是不同IP,或是不同域名。另外,他们的论坛在一个frameset里面。

本来家里测试完好,但在客户现场部署时,失败:登录成功后跳转总是显示未登录状态,但是,抛开frameset登录,有时候ok。

于是,回公司后,向客户要了他们的Discuz论坛的所有代码,因为第一次部署时,发现他们对论坛改动很大,代码发过来后,在本机部署,没有任何问题,包括frameset里面!

我当时怀疑是Weblogic两边环境有区别,不过差别很小,都是8.1*版本。于是,第二次我去了客户那边,并且带去了自己的笔记本,上面有开发测试好的程序。

到了客户那边,我就在他们那个安装了WebLogic服务器的机器上,再安装了一个我自己的Weblogic,一切安装、部署完毕:问题依然存在!

我一步步确定是frameset引起的问题。但是,登录时,有filter拦截跳转,登录Weblogic成功后跳转,登录Discuz passport后也跳转。问题全部搅混在一起,就很难确定问题究竟出在哪里。

后来,log出request.getRemoteUser,总是返回null,我基本上确定是session所必须的cookie丢失造成的,但为什么会丢失呢?不就是在一个frameset里面吗?不用frameset,确实不出问题。

但是,在本机测试时,无论用frameset与否,都不出问题啊?

反复推敲,估计是不同域名或IP,再加上frameset,就会出问题,但问题怎么描述呢?也就是说,什么具体的条件,会引起cookie丢失呢?

说实话,这个时候,最难的,就是确定真正的问题出在哪里

于是,我google了一下:“frameset cookie”,竟然有很多人讨论!不久就基本上确认了我当时推测。IE6.0对W3C 关于cookie的P3P协议的支持,支持得有些荒唐,几乎成了bug。

我再用firefox测试了SSO登录和退出,一切ok!然后,设置一下IE的cookie隐私,也一切ok,不用对程序做任何改动。但是,总不能要求几十万用户这么做吧。
问题很快就得到了解决。

还是描述一下具体的问题吧:
在frameset里面,也就是里面的frame是来自第三方站点(不同IP或不同域名),那么默认情况下IE会自动禁用这些站点的cookie,也就是在请求某url时在HTTP header里不发送它们的cookie,包括session的cookie。注意,这些站点在response里面设置的cookie还是会被发送到浏览器的。

那么,解决的办法,自然是对frame里面的第三方站点的response header里面添加一个确认信息,在MSDN里面有个最简单的解决办法:response.addHeader("P3P","CP=CAO PSA OUR")。

我当时是在可能的servlet的response里面添加,不过,最简单的办法,是用一个filter,对所有路径下的uri,都设置response.setHeader("P3P","CP=CAO PSA OUR")。
我自己单独测试时,发现只要有某个http header设置了上面那个header信息,以后cookie都会畅通无阻。但是,设置html的meta没用。

上面控制cookie的方法,和以前的方法很不一样。第一,它不是操作cookie本身。第二,它是在cookie之外控制cookie。第三,它不是set cookie,而是控制cookie是否随着请求发送(是否拦截cookie)。

下面几篇文章描述了这个问题,并且提出了解决方案:
http://support.microsoft.com/default.aspx?scid=KB;EN-US;Q323752 (解决方案)
http://msdn.microsoft.com/workshop/security/privacy/overview/privacyie6.asp (P3P和IE隐私关系)
http://www.castlecops.com/a837-P3P_in_IE6_Frustrating_Failure.html (评价非常有意思)

我认为,MS官方给出的example还不是很好,因为我认为frame里面应该有两个页面:发起session页面和接收session页面,我给出了自己的例子,在附件里面。

另外,如果你需要模拟两个IP,你可以在本机建立一至两个微软的LoopBack 网卡(控制面版->添加新硬件)。
然后在IIS里面用一个IP建立一个站点,在Tomcat里面用另外一个IP。

website.rar
描述:本文的测试代码。
下载
文件名:website.rar
文件大小:3 KB
下载过的:文件被下载或查看 33 次

 
daniao2003
关注
专栏目录
chrome 不再支持iframe 携带cookie 访问第三方站点
09-16 9552
原文地址:https://www.cnblogs.com/jying/p/13555016.html 最近小伙伴说系统有一个跳转第三方的功能有的人电脑端不好使了,我检查了下自己的页面,发现没问题,于是一口答复:不管!!!(其实是卑微的说:那先在手机端试试吧。结果手机端正常,于是就先忙别的事情了) 今天不经意间点了下自己手机端的功能,发现手机端也不显示了!!!然后再看电脑端也不好使...
Frameset导致Cookies和Session丢失的原因及解决办法
PI_ZT的专栏
10-24 1290
1.Frameset导致Cookies和Session丢失的原因及解决办法  使用框架(Frameset)调用不同域名下的页面,会出现此域下页面的Cookies和Session丢失的现象。   原因:基于IE6.0对W3C 关于cookie的P3P协议的支持,使用框架调用不同域下的页面,默认情况下IE会自动禁用此域下的Cookies,因此会出现Cookies和Session丢失的现象
Frameset中引入的第三方asp.net页面丢session的问题
hurtmanzc的专栏
02-20 1278
公司有一个asp.net开发的用于展现报表的web系统, 一个合作伙伴想通过框架将展现报表的页面嵌入到他们自己的portal页面里(一个jsp页),嵌入以后发现展现报表的asp.net页面第一次登陆后可以正常显示,刷新或打开其他页面后出错误,跟踪发现session丢失的缘故, 网上查了些资料, 发现是由于frame中嵌入第三方web页后, 不能保存cookie导致的session丢失.    
在框架中(IFRAME/FRAMESET)传递COOKIE解决方案[转]
weixin_30613727的博客
04-16 517
session写入页面加入: Response.AddHeader("P3P", "CP=CAO PSA OUR"); ------------------- IFrame中Session丢失解决办法 IFrame中Session丢失解决办法 在开发中,我们经常会遇到使用Frame来工作,而且有时是为了跟其他网站集成,应用到多域的情 况下,而Iframe是不能保存Session的。...
Iframe内嵌Cookie传递丢失问题的解决方法
友 善 ,分 享 ,非 诚 ,勿 扰
11-10 4743
问题特征: 在系统1中(域名a.com)iframe嵌入系统2的页面(b.com),那么内嵌的页面(所属b.com)在跳转的过程中会丢失Cookie。 问题原因: 在frameset里面,也就是里面的frame是来自第三方站点(不同IP或不同域名),那么默认情况下IE会自动禁用这些站点cookie,也就是在请求某url时在HTTP heade...
IE浏览器跨域访问iframe 中 Cookie/Session丢失解决方案
CHBOS的专栏
10-09 1461
偶然中发现一个IE浏览器的问题:         站点aa.com的页面a.aspx中存在一个iframe,iframe的src为站点bb.com的b.aspx。b.aspx设置了一个COOKIE(不管临时保存还是长期保存),然后刷新aa.com/a.aspx,bb.com/b.aspx也会被刷新,这时候会发现第二次向bb.com/b.aspx的请求里面并没有带入第一次设置的COOKIE
IIS解决IFRAME中COOKIESESSION丢失
天地不仁,以万物为刍狗
04-28 1899
一个位于iframe中的aspx页面,通过iframe的src参数调用,并传递参数,但是ASPX页面无论如何也不能保存SESSIONCOOKIES也不行,后来在网络上搜索了相关文章后才知道,IE默认不接受没有标识为安全的第三方COOKIE,造成不能保存COOKEIS以及SESSION。   处理方法:   打开IIS管理器,打开ASPX页面所在的那个站点的属性->HTTP头->添加按钮  
用P3P header解决iframe跨域访问cookie
Lullaby Us
12-22 146
目前在整合几个应用时,遇到了iframe无法获取cookie(session)的问题,经过google,终于把这个问题解决了,现在记录一下。 我的需求是这样的。 有一个应用是用.net开发的,主要是控制用户登录,用户访问权限的,部署在上海机房。现在就叫A应用吧 还有一个应用是用java开发,主要是具体业务的操作。部署在北京机房,这里叫B应用吧 由于已经有一个用户管理和权...
IFrame中Session丢失解决办法
06-06
P3P是一种隐私偏好平台,它影响了IE对第三方Cookies的处理,尤其是当它们嵌套在IFrame中时。 ### 解决方案 针对IFrame中Session丢失的问题,可以采取以下几种策略: 1. **使用StateServer模式管理Session:** 在...
IE的cookie机制导致的session问题及解决办法.doc
08-28
如果在frameset内嵌入的frame来自第三方站点(具有不同的IP地址或域名),IE默认会禁用这些站点Cookie,即在HTTP请求头中不会包含它们的Cookie信息,即便包括Session相关的Cookie。尽管如此,这些站点在响应中设置...
【前端知识梳理】HTML篇 笔记整理(一)
超逸の学习技术博客
03-28 1600
写在开头 大家好,这里是lionLoveVue,基础知识决定了编程思维,学如逆水行舟,不进则退。金三银四,为了面试也还在慢慢积累知识,Github上面可以直接查看所有前端知识点梳理,github传送门,觉得不错,点个Star★,持续更新中。另外,也可以关注微信公众号:小狮子前端Vue,源码以及资料今后都会放在里面。 一直想着成为一个up主,正值时间挺多的,4月份左右面试的面经我会制作视频去分...
通义灵码最佳使用实践:如何深度使用辅助功能
TONGYILingma的博客
09-25 1095
VSCode首先打开菜单栏中的设置页面。在面板左侧选择“快捷键”(Keymap),随后找到“插件”(Plugins)中的“TONGYI Lingma”子项,展开后即可查看和编辑相关快捷键。
如何保证测试的覆盖率
最新发布
m0_64318128的博客
09-27 98
1. 分析需求时显式需求(产品规格说明书、需求文档)和隐式需求(用户主观感受、市场的主流观点)都要考虑,及时发现需求中描述不清或者有问题的点。2. 罗列功能点时可以使用思维导图的方式,罗列出功能点和性能指标,检查功能之间是否存在关联和交互。并对功能点进行评审、3. 设计用例时要考虑正向用例和反向用例,并采用合适的测试方法(等价类、边界值、判定表)。4. 在测试过程中遇到非测试步骤出现的bug,将其整理成测试用例。5. 出现侧漏的情况要记录原因,并将其加入测试用例。
【黑马软件测试一、二】软件测试基础与Linux、数据库
weixin_45962681的博客
09-27 557
软件测试就是。
邮储银行基于大模型技术的智能化测试初探
银行信息系统应用架构导论
09-24 131
对此,邮储银行在初步私有化部署阶段,通过将小批量的测试用例、测试领域内部标准规范文件、需求文档、测试知识等作为原始语料,采取Prompt和Fine-tuning技术相结合的方式对模型进行了调优及增量训练,进而充分利用预先训练的模型在大规模数据集上学习到的特征提取能力和模式识别能力,在新数据上获得更好的性能表现,不仅避免了从头开始训练需准备大量高质量数据的难题,也节省了项目整体耗时和计算资源。为检验测试大模型的应用实效,邮储银行选择手机银行的测试过程开展落地实践,取得了良好效果。图3 大模型生成的测试用例。
JPA+Thymeleaf增删改查
y050505的博客
09-25 457
在使用JPA(Java Persistence API)和Thymeleaf作为模板引擎进行Web开发时,实现增删改查(CRUD)操作是一个常见的需求。下面,我将简要介绍如何使用Spring Boot框架结合JPA和Thymeleaf来实现这一功能。
外包干了5天,技术明显退步。。。。。
YJT1002的博客
09-24 6094
​先说一下自己的情况,本科生,21年通过校招进入南京某软件公司,干了接近2年的功能测试,今年年初,感觉自己不能够在这样下去了,长时间呆在一个舒适的环境会让一个人堕落!而我已经在一个企业干了2年的功能测试,已经让我变得不思进取,原本打算结婚的女朋友也因为我的心态和工资和我分手了。于是,我决定要改变现状,冲击下大厂。 ​
HTML框架frameset与frame详解
2. **`<frame>`**: `frame`元素是`frameset`内部的子元素,它定义了每个框架的特性。每个`<frame>`标签关联了一个特定的URL,通过`src`属性指定。此外,`frame`还有其他属性,如`name`用于为框架命名,便于通过`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值