firefox貌似没有这个问题,IE有
IE它的安全策略默认是会把iframe中的页面站点认为是不可信任的,它会阻止该站点传过来的cookie(如果你在iframe中的URL跳转是用的localhost,则不会被阻挡),所以因为没法使用cookie了,session便实效了。其实这里还是有个小问题的,因为在j2ee中的session是靠cookie或url重写来维持的,如果cookie不能用了,因该是自动采用url重写来维持住session,不知为什么没有自动采用后者
解决方法是在被嵌入的JSP页面头写上
<%
response.setHeader("P3P" , "CP=\"CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR\"" );
%>