iframe 跨域访问session/cookie丢失问题解决方法

最新推荐文章于 2023-04-21 11:16:25 发布
最新推荐文章于 2023-04-21 11:16:25 发布 5514 收藏 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43679771/article/details/87866759
版权
               

今天因工作需要,在一个域名A的页面中,使用iframe包含另一个域名B的页面。在chrome,firefox测试一切正常。

当测试到IE7时,发现域名B中的页面session失效,不能写入session。


网上搜索后了解, 因为IE有安全策略,限制页面不保存第三方cookie(当前访问域名A下的页面为第一方cookie,而域名B下的页面为第三方cookie)。

虽然有安全策略限制,但我们可以引入P3P声明允许第三方收集个人信息,使第三方cookie不被拒绝。


P3P:Platform for Privacy Preferences(隐私偏好平台)是W3C公布的一项隐私保护推荐标准,能够保护在线隐私权。使用Internet者可以选择在浏览网页时,是否被第三方收集并利用自己的个人信息。如果一个站点不遵守P3P标准,它的Cookies将被自动拒绝。


在iframe的页面头加入以下语句即可解决session失效问题。

header('P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"');

a.com/index.php 

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"><html> <head>  <meta http-equiv="content-type" content="text/html;charset=utf-8">  <title> domain A page </title> </head> <body>  <p>A Page</p>  <iframe src="http://b.com/index.php"></iframe> </body></html>

b.com/index.php 

<?phpheader('P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"');session_start();$_SESSION['code'] = md5(microtime(true));?><!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"><html> <head>  <meta http-equiv="content-type" content="text/html;charset=utf-8">  <title> domain B page </title> </head> <body>  <p>B Page</p>  <?php  if(isset($_SESSION['code'])){    echo 'code:'.$_SESSION['code'];  }  ?> </body></html>

IE iframe 跨域访问session问题解决了,但测试后发现,即使加入了P3P,safari浏览器依然不能保存iframe页面中的session。


原来safari的安全策略是,当cookie并未以第一方cookie保存过的(非iframe),将判断为不安全而直接拒绝。因此与IE的P3P有些不同。


解决方法如下:

首先在iframe的页面中判断某个session值是否存在。如果不存在,使用js修改window.top.location跳到一个本域的setSession.php页面。

因为是用window.top.location打开,因此并非iframe去访问,且能以第一方cookie保存.

然后在setSession.php页面执行完set session后,会跳回A域名的页面。之后就能使用session而不失效了。


代码如下:

a.com/index.php

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"><html> <head>  <meta http-equiv="content-type" content="text/html;charset=utf-8">  <title> domain A page </title> </head> <body>  <p>A Page</p>  <iframe src="http://b.com/index.php"></iframe> </body></html>

b.com/index.php 

<?phpheader('P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"');session_start();$ua = $_SERVER['HTTP_USER_AGENT'];// 如果是safariif(strstr($ua, 'Safari')!='' && strstr($ua, 'Chrome')==''){    // 如果未设置第一方cookie    if(!isset($_SESSION['safari'])){        echo '<script type="text/javascript"> window.top.location="http://b.com/setSession.php"; </script>';        exit();    }}$_SESSION['code'] = md5(microtime(true));?><!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"><html> <head>  <meta http-equiv="content-type" content="text/html;charset=utf-8">  <title> domain B page </title> </head> <body>  <p>B Page</p>  <?php  if(isset($_SESSION['code'])){    echo 'code:'.$_SESSION['code'];  }  ?> </body></html>

b.com/setSession.php 

<?phpheader('P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"');session_start();$_SESSION['safari'] = 1;header('location:http://a.com/index.php');?>


源码下载地址:点击查看





           

再分享一下我老师大神的人工智能教程吧。零基础!通俗易懂!风趣幽默!还带黄段子!希望你也加入到我们人工智能的队伍中来!https://blog.csdn.net/jiangjunshow

这么红的花
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
完美解决iframe跨域问题
04-18
框架完美解决iframe之间的跨域通讯。底层技术采用window.name转换代理实现
iframe跨域访问出现的cookie问题,提供两种解决方案
I_No_dream的博客
07-20 5246
最近在java项目对接时出现的一个问题。A系统嵌入B系统页面时,使用iframe去嵌入B系统页面丢失sessionid,导致B系统认为是未进行登录的请求,从而跳转到了B系统登录页。 解决方法查看此博客:https://www.cnblogs.com/suizhikuo/p/3384972.html 总结原因是因为这种嵌入方法触发了P3P,也就是个人隐私安全平台项目(The Platform forPrivacy Preferences Project)的一个标准,为了保护用户隐私,从而导致A系统嵌入B系统,
iframe嵌套页面,由于同源策略导致cookie无法获取,导致会话session失效问题解决方案
阳光
04-21 298
iframe嵌套页面,由于同源策略导致cookie无法获取,导致会话session失效问题解决方案
iframe 内嵌的第三方网站 cookie 失效,解决办法
BILL-博客-LLIB
04-29 4188
iframe 内嵌第三方网站 cookie 失效,解决办法 打开chrome浏览器,地址栏输入chrome://flags/ 解决方案: 方案1. 将SameSite属性值设为None, 同时将secure属性设置为true。且需要将后端服务域名必须使用https协议访问; 方案2. 由于设置SameSite = None,有SCRF风险。所以,最佳方案是用token代替Cookie方式作验证; ...
php抓取iframe cookie,关于Iframe如何跨域访问CookieSession解决方法
weixin_42523985的博客
03-10 511
最近做登录系统的整合,其中遇到的一个最关键的问题为在一个统一的后台里需要无障碍的访问另外一个系统后台,这个系统是第三方提供的一个加过密的系统,后台自动登录接口是自己分析出来的,没有单独提供,当从统一后台通过自动登录接口登录时,系统直接跳转到系统后台首页,后台登录成功后所跳转的URL这里没法指定,控制不了跳转的页面,如果在统一后台里需要链接到这个系统后台的另外一个页面,而非后台默认首页时,也就是将第...
iframe 跨域访问session丢失问题解决方案
迪士尼公主的专栏
12-01 3858
在做项目的时候,碰到一个很棘手的问题。在一个应用中通过iframe的方式嵌入另一web应用,但是session中明明放了值,但是就是死活获取不到。几经周折,终于皇天不负有心人,总算找到了关键命脉所在。   最近在做一个系统(A),需要在系统(A)中集成目前现存系统(B)的功能。   当然,系统(B)功能在访问时做了登陆限制。(一般性都是:系统登陆后把userId放入session中,在具
iframe 跨域访问session
01-28
iframe 跨域访问session问题解决方法
iframe跨域访问cookie、Sessio
风沙星辰
12-23 262
1、IE浏览器iframe跨域丢失Session问题 在开发中,我们经常会遇到使用Frame来工作,而且有时是为了跟其他网站集成,应用到多域的情况下,而Iframe是不能保存Session的因此,网上可以找到很多相关的文章,如果网站可以采用设置Web.Config中的配置: mode="StateServer" stateConnectionString="tcpip=127.0.0....
IFrame带来的Session问题
热门推荐
燕窝
05-10 1万+
客户原来有个Web App系统A,我们要基于A开发一个系统B,但不希望B对A依赖太重,所以B被实现为一个独立的Web App(war)。A和B部署在同一个Weblogic server上,在A中可以导航到B,两个系统看起来像是一个系统。     有个小需求是,在B中希望显示一个页面,根据参数能展示出不同的信息。这个页面在A中已经存在,所以自然而然最快的方法就是在B中创建一个iframe来指向
ifame共享session解决方法
ykdsg的专栏
08-19 5121
       在开发中碰到的问题,同事做的一个页面中的iframe要调到我这边地址,并且url后附着验证码,而我验证时要取得他session中的登陆信息。结果是iframe对第一个action可以相应,但我的页面包含的另外的iframe中的action却调不到session中的值。发现是调不到最外面那个页面的session        解决方案,在第一次相应的action中加一个header
iframe跨域session失效问题解决办法
10-26
主要介绍了iframe跨域session失效问题解决办法,有需要的朋友可以参考一下
关于Iframe如何跨域访问CookieSession解决方法
01-20
最近做登录系统的整合,其中遇到的一个最关键的问题为在一个统一的后台里需要无障碍的访问另外一个系统后台,这个系统是第三方提供的一个加过密的系统,后台自动登录接口是自己分析出来的,没有单独提供,当从统一后台通过自动登录接口登录时,系统直接跳转到系统后台首页,后台登录成功后所跳转的URL这里没法指定,控制不了跳转的页面,如果在统一后台里需要链接到这个系统后台的另外一个页面,而非后台默认首页时,也就是将第三方系统后台的菜单功能放到我们这个统一后台里。 对于这样的一个需要,这里会遇到一个问题,为了能正常访问第三方系统的后台栏目,必需确保已经登录该系统,否则会提示用户登录,所以在点击这些菜单链接时,系统
iframe跨域访问session丢失
07-13
NULL 博文链接:https://thoreau.iteye.com/blog/745100
PHP关于IE下的iframe跨域导致session丢失问题解决方法
12-19
今天搞的一个登录页面,被别的网站用iframe嵌进去后,死活无法登录(只在IE中存在这种情况)。 很明显,session无法被保存。但是直接在地址栏打开那个登录页面,一切都正常啊。真是奇怪啊。 在网上搜索了一下。发现这个问题还真有不少人提及到。最后的解决方法是在那个登录页面里加上以下代码: 复制代码 代码如下: <span xss=removed>header(‘P3P: CP=”ALL ADM DEV PSAi COM OUR OTRo STP IND ONL”‘); session_start();</span
解决前后端分离 vue+springboot 跨域 session+cookie失效问题
01-19
环境: 前端 vue ip地址:192.168.1.205 ...搜索问题,发现跨域,服务器响应的setCookie浏览器无法保存,而且就算保存了域名不同也不能携带。 第一步: 后台添加过滤器,因为前后端分离,不可能每个方
谷歌8.0新版iframe嵌套跨域请求cookie丢失问题
红尘炼炼心的博客
08-26 3465
谷歌8.0新版iframe嵌套跨域请求cookie丢失问题。 浏览器的Cookie新增加了一个SameSite属性,用来防止CSRF攻击和用户追踪。该设置80版本默认是关闭的,但在Chrome 80之后,该功能默认已开启。 不再支持iframe 携带cookie 访问第三方站点
关于Google浏览器(新版本)通过iframe嵌套网页存储不了cookie问题
这里是简介
06-03 3369
关于Google浏览器(新版本)通过iframe嵌套网页存储不了cookie问题 在存储cookie在代码里设置SameSite和Secure的值 $cookie.set(username, 'zhangsan', { expires: datetime, path: "/", SameSite:"None", Secure:true }); 这样就可以存储cookie的值了。 ...
iframe跨域cookie丢失 csdn
最新发布
04-29
iframe跨域是指父级网页与子级网页不在同一域名下,当iframe子级网页中需要获取或设置cookie时,由于浏览器的同源策略限制,无法直接跨域获取或设置cookie。因此,iframe子级网页中的cookie丢失。 为了解决这个问题,我们可以采用以下两种方法: 1. 使用后端代理 后端代理是指在服务器端向目标网站发送请求,然后再将返回结果传递给前端页面。可以通过后端代理将同一域名下的cookie带入到iframe子级网页中,从而解决跨域cookie丢失问题。 2. 使用window.postMessage postMessage是HTML5中新增的API,它允许两个窗口之间相互传递信息,即使这两个窗口不在同一个域名和端口下。通过在父级网页和子级网页中都添加postMessage事件监听器,可以建立通信,从而在父级网页中设置cookie,在子级网页中获取cookie解决跨域cookie丢失问题。 总之,当iframe子级网页中需要获取或设置cookie时,我们可以利用后端代理或window.postMessage来解决跨域cookie丢失问题

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

这么红的花

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值