IFrame引用跨域站点页面时，Session失效问题解决

问题场景:
在一个应用(集团门户)的某个page中, 通过IFrame的方式嵌入另一个应用(集团实时监管系统)的某个页面. 当两个应用的domain 不一样时, 在被嵌入的页面中Session失效。(session基于cookie实现，引用页不允许使用cookie).

问题分析:
IE6/IE7从安全性角度考虑，支持的P3P(Platform for Privacy Preferences Project (P3P) specification)协议默认阻止第三方无隐私安全声明的cookie，Firefox目前还不支持P3P安全特性，firefox中自然也不存在此问题了。

解决方案:
1. 修改Client的设置
使Client可以接受来自任何网站的Cookie(具体设置在IE选项的隐私页中, 将B站点加入到受信任的站点)
或者将两个domain都设置为受信任站点

2. 应用的domain修改
简单方案: 两个应用使用同一个domain

复杂方案: 可以在iframe加载的页面里通过setdomain来强制更改

3. P3P
第一种: 在要嵌入的内容中(iframe指向的站点)输出P3P的主机头声明， 步骤如下：
> 打开IIS管理器 inetmgr
> 选择被嵌入iframe源站点或者目录，右键点击打开属性框
> 切换到HTTP头
> 添加
> 自定义HTTP头名: P3P
> 自定义HTTP头值: CP="CAO PSA OUR"
> 关闭属性框退出，即刻生效

第二种: 在被嵌入页面page_onload里添加一语句：Response.AddHeader("P3P","CP=CAO PSA OUR");

------------------华丽分割线----------------------------

IE浏览器iframe跨域丢失Session问题

在开发中，我们经常会遇到使用Frame来工作，而且有时是为了跟其他网站集成，应用到多域的情况下，而Iframe是不能保存Session的因此，网上可以找到很多相关的文章，如果网站可以采用设置Web.Config中的配置： mode="StateServer"
stateConnectionString="tcpip=127.0.0.1:42424"
sqlConnectionString="data source=127.0.0.1;Trusted_Connection=yes"
cookieless="false"
timeout="40"
/>
把 cookieless="false"改成"true"就可以了但也同样有个小问题，就是如果页面中采用Javascript的 window.location.href=''这样的方式来重定向的话，系统会认为这是另一个新的请求，产生一个新的SessionId，导致原 Session同样的丢失所以对于重定向，还是使用Response.Redirect()为好

除了Ifrmae有丢Session问题外，frameset也有同样的问题Frameset的问题更不确定，是有时会丢，有时不会丢，这更认人头痛，在网上找到了一个方法，在页面page_onload里添加一语句：
Response.AddHeader("P3P","CP=CAO PSA OUR");
FrameSet中的Session丢失问题就解决了至于里面具体的原因 也没时间去搞懂了

最简单的方法就是在iis里设置

解决办法

response.addHeader("P3P","CP=CAO PSA OUR")。

不过难道我们需要在每个页面都加这个么?

不需要的

如果有权配置IIS服务器

打开IIS

管理工具——〉选择一个网站——〉属性——〉http头，增加一个http头
然后输入头名：P3P
输入头内容：CP=CAO PSA OUR

如果没有权限配置IIS服务器,但是你用的是asp.net的话

可以用httpmodual来实现在全部页面或者部分页面头部插入所需要的标志

本站点的某个目录就是这样实现的

2、用P3P header解决iframe跨域访问cookie

本文来源：http://blog.csdn.net/wonder4/archive/2008/02/27/2125804.aspx

目前在整合几个应用时，遇到了iframe无法获取cookie(session)的问题，经过google，终于把这个问题解决了，现在记录一下。
我的需求是这样的。
有一个应用是用.net开发的，主要是控制用户登录，用户访问权限的，部署在上海机房。现在就叫A应用吧
还有一个应用是用java开发，主要是具体业务的操作。部署在北京机房，这里叫B应用吧
由于已经有一个用户管理和权限的应用程序，所以java 开发的这个Ｂ应用就没有开发用户权限的功能，想直接使用.net的Ａ程序。

用户访问的流程是这样的：
1.用户先在A处登录，A设自己的cookie,在A的菜单里有去B应用的链接
2.当用户点去Ｂ应用的链接时，Ａ在链接上自动加上这个用户的token,传给Ｂ系统
　 3.当B系统接收到请求后，把这个用户的token信息设成自己系统的cookie，（Ｂ系统里有表单post操作，如果不设 cookie,session，那么每个请求不管ＧＥＴ还是ＰＯＳＴ都要明确带着该用户的token信息，对于系统的改造量比较大，另外以后换权限验证方法改动也比较大。）
　　4.用户在Ｂ系统里的每次操作都没有明码带用户的token，所以每次都要去cookie得到token信息，然后发送一个http请求去Ａ，让Ａ系统验证这个用户是否有权限访问。
5.如果Ａ系统的接口返回可以访问的状态报告，那么Ｂ继续执行；如果Ａ系统指示没有权限访问，那么Ｂ系统提示访问受控警告信息。

　　一切开发都完成，到整合上线时，发现这个流程走不通，百思不得其解，想了半天也不知道 怎么回事，google了半天，才发现原来是ie在捣鬼，IE不允许跨域访问cookie(好象firefox没问题，ie自6.0以后改用w3c组织的 P3P协议了)，再看看我的应用，在第二步设的cookie，在第三步以后所有Ｂ应用的访问请求，ie都把B应用的cookie blocked掉了（因为用户的访问是从A应用发起，从A应用访问B应用的东东，算跨域访问，IE认为有安全问题）。。。。（IE状态栏有一个红眼睛的 button,点开可以看到哪些cookie给blocked掉了）

知道原因就好办了，再google知道可以用P3P header可以解决问题！
下面是java的解决办法之一，也是我的解决办法，不过个方法不太好：
直接往响应里加一个P3P的header
response().addHeader("P3P", "CP=/"IDC DSP COR CURa ADMa OUR IND PHY ONL COM STA/"");

其中CP=“XXX XXXX”这些是有具体含义的：
CP就是compact policies的意思，
另外header的值也可以是policyref="http://myhost/P3P/PolicyReferences.xml",就是指定一个策略文件。

具体请看这里.

下面是摘抄的一段Compact Policies的具体取值范围和设值含义。
Compact Policies
Compact policies are essentially summaries of P3P policies. They can be used by user agents to quickly get approximate information about P3P policies, therefore improving performance.

For an in-depth explanation of compact policies, we refer to the P3P1.0[4] specification. Here, we limit to stating the syntax:

compact-policy-field = `CP="` compact-policy `"`

compact-policy = compact-token *(" " compact-token)

compact-token = compact-access |

compact-disputes |

compact-remedies |

compact-non-identifiable |

compact-purpose |

compact-recipient |

compact-retention |

compact-categories |

compact-test compact-access = "NOI" | "ALL" | "CAO" | "IDC" | "OTI" | "NON"

compact-disputes = "DSP"

compact-remedies = "COR" | "MON" | "LAW"

compact-non-identifiable = "NID"

compact-purpose = "CUR" | "ADM" [creq] | "DEV" [creq] | "TAI" [creq] |

"PSA" [creq] | "PSD" [creq] | "IVA" [creq] | "IVD" [creq] |

"CON" [creq] | "HIS" [creq] | "TEL" [creq] | "OTP" [creq]

creq = "a" | "i" | "o"

compact-recipient = "OUR" | "DEL" [creq] | "SAM" [creq] | "UNR" [creq] |

"PUB" [creq] | "OTR" [creq]

compact-retention = "NOR" | "STP" | "LEG" | "BUS" | "IND"

compact-category = "PHY" | "ONL" | "UNI" | "PUR" | "FIN" | "COM" |

"NAV" | "INT" | "DEM" | "CNT" | "STA" | "POL" |

"HEA" | "PRE" | "LOC" | "GOV" | "OTC"

compact-test = "TST"

本文来自CSDN博客，转载请标明出处：http://blog.csdn.net/wonder4/archive/2008/02/27/2125804.aspx

"TST"另外这里还有一个P3P的验证工具：http://www.w3.org/P3P/validator.html，可以验证一下自己设置的P3P是否正确。这里还有一个老外写的不错的blog，也可以参考一下。http://www.sitepoint.com/article/p3p-cookies-ie6/2
------------------------------------------------------------------------------------------------------------------------------------------------------
用 P3P 实现隐私参数优选策略
时间：2009-01-01 19:25:05 来源： 作者：
偶尔在yahoo的 头信息里看到p3p就上网查了一下 放在这里储存
<?php
print_r(get_headers());
?>
结果是这样的
Array
(
[0] => HTTP/1.1 301 Moved Permanently
[1] => Date: Mon, 17 Sep 2007 05:33:26 GMT
[2] => Location: http://cn.yahoo.com/
[3] => Connection: close
[4] => Content-Type: text/html
[5] => HTTP/1.1 200 OK
[6] => Date: Mon, 17 Sep 2007 05:33:26 GMT
[7] => P3P: policyref=”http://p3p.yahoo.com/w3c/p3p.xml“, CP=”CAO DSP COR CU
R ADM DEV TAI PSA PSD IVAi IVDi CONi TELo OTPi OUR DELi SAMi OTRi UNRi PUBi IND
PHY ONL UNI PUR FIN COM NAV INT DEM CNT STA POL HEA PRE GOV”
[8] => Connection: close
[9] => Content-Type: text/html
)

下面为转载

作者： BUILDER.COM
Monday, May 20 2002 11:02 AM

Platform for Privacy Preferences（P3P，中文称隐私参数优选平台）是一种为网站说明隐私和/或用户信息策略的XML标准。采用P3P之后网站属主即可描述其网站所收集的信息内容及其用途，在没有实现P3P的情况下，有些用户在提交表单或者用cookie浏览网站时就只得把自己的安全选项设置为较低级别。而采用 P3P就可以通过建立代理（agent）的方式来代表用户参与网络活动。本文就是对P3P的基本概述。

经W3C宣布的P3P的5个目标如下：
收集网站数据的标准纲要，也就是所谓的P3P Base Data Schema
用途、收件人、数据类别以及其他涉及隐私暴露方面的标准集合
表达隐私策略的XML格式
把隐私策略关联网页、网站和cookie的方式
通过HTTP传输P3P策略的机制

--------------------------------------------------------------------------------

P3P的实现
P3P的功能有三个部分组成：一个或者多个策略文件、策略参考文件和源自服务器的HTTP报头。策略文件应该存放在Web服务器的w3c目录下（/w3c）。

你不妨对你的网站计划和评估一下现有的隐私策略。如果没有这样的计划或者策略，那么在实现P3P之前你就应该制定相应的计划。隐私策略示例请见Sun网站。现在先让我们了解实现P3P的基本步骤。

1. 创建策略文件（Policy.p3p）
首先你必须创建一个策略文件。XML策略文件准确描述了信息的内容及其用途。记住，P3P采用了“只有得到承认的才是许可的”防范机制，这就是说，只有这个策略文件中描述过的数据才需要采集。P3P规范并没有说明怎样的数据及其处理过程不在包含范围之内。这样策略文件就会包含大量信息，好在IBM的P3P策略编辑器在你创建这类文件的时候可以帮上大忙。

策略文件至少包含了关于网站的声明语句。该语句的内容是采集何种数据以及如何使用它们的信息。清单A即是实现自己策略的示例。

采集的数据遵循P3P Base Data Schema规定的数据结构。假如实现了多个声明，那么各个声明的目的和数据列表是不同的（也许某个网站需要针对cookie、注册和购物采用不同的声明）。IBM的P3P策略编辑器并没有包含不被采集的特殊数据字段，不过，按照W3C提案的规定，我建议你包括网站采集到的特殊数据（比方说：“用户家庭住址”）。此外文件中最好还要包括Save Zone声明，Save Zone是网站上同具体用户无关的信息组成部分。

2. 创建策略参考文件（Policy.xml）
编写策略文件之后就必须接着创建策略参考文件了。不同的网站目录采取不同的隐私策略是完全可能的。可是，大多数网站通常会在整个网站范围内再适用单一的策略。创建策略参考文件就是这个过程中最简单一步，可是你得保证P3P策略文件的URL和策略名称（#generalPolicy）写对了。文件中包含的元素只是策略适用目录的路径。清单B中的策略参考示例则包含了根目录下的全部路径。

3. 配置服务器
实际上，要真正开始用到P3P你还得先配置你的服务器传递一个指向策略参考文件的HTTP报头。系统配置根据市售各类服务器的差别而不同。如果你不具备访问服务器的权限，那么你可能得使用<link>标签或编写相应的代码。

在下面的例子里，P3P是HTTP报头的名字。冒号以后的所有内容就是报头的值，它分成两个部分：指向策略参考的URL和简洁策略CP（Compact Policy）。
P3P:policyref=”http://www.mysite.com/w3c/p3p.xml” CP=”ALL DSP COR NID CUR OUR IND PUR”

CP是由3字符代码组成的列表（相关信息已经在W3C网站上进行了说明）。在上例中，该网站不定期地（INDefinite）为OUR公司收集购买商品项目（PURchasing）或完成当前活动（CURrent）的有关数据。有疑问（DiSPutes）、不可识别（Nonidentifiable）的数据作为cookie存储（NID）。由于我们的网站以cookie的方式存储客户号，所以NID应该从列表中删除。

CP应该匹配完整的策略；因此，如果你在CP中使用了NID，那么你应该在你的策略文件中包括<nonident/>标签。为了匹配这些设置而在下一节介绍的校验工具会对以上代码进行检查，如果有差异的话，Internet Explorer 6.0浏览器也会检查策略文件并且令策略文件无效。

如果你使用的共享服务器或者Web服务器难以配置HTTP报头，那么你不妨将其添加到你的 HTML或Java代码中。我就在自己的JSP文件中添加了下列代码：

response.setHeader(”P3P”,”policyref=/”http://www.mysite.com/w3c/p3p.xml/” CP=/”ALL DSP COR CUR OUR IND PUR/”");

如果你的站点是基于HTML的，那么你也可以使用 <link> 标签：
<link rel=”P3Pv1″ href=”/w3c/p3p.xml”></link>

检查和测试
IBM的P3P编辑器可以对你的P3P文件而整个隐私系统的实现进行检查。幸好，W3C在网上推出了一种检查工具。你不妨输入自己主页的URL看看检查工具是如何工作的。它会说明你的P3P实现中存在的语法或配置错误。此外，你也可以IE 6.0的菜单中选择View–> Privacy Report，列出全部站点，然后选择你的网站并单击Summary按纽查看你的隐私报告。

小结
最后，策略参考文件（P3P.xml）和策略文件（Policy.p3p）都被创建出来了。Policy.p3p文件是完整策略；它被 P3P.xml（或 Policy.xml）引用，这个可以通过查看HTTP报头认识到这一点。W3C强烈建议你在Web服务器上把这些文件存放在一个/w3c目录下。如果每个人都在用着同一目录，那么，就算HTTP报头没被收到，用户代理也能找到这些文件。