IE下iframe跨域session和cookie失效问题的解决方案

最新推荐文章于 2024-04-08 14:47:03 发布
最新推荐文章于 2024-04-08 14:47:03 发布
阅读量778 收藏
点赞数
分类专栏: Session/Cookie 文章标签: session 解决方案
问题来源:
何为跨域跨域session/cookie?

也就是第三方session/cookie。第一方session/cookie指的是访客当前访问的网站给访客的浏览器设置的seesion/cookie, 会被存储在访客的计算机上。第三方session/cookie指的是当前访问的网站中会加载(嵌入)另外第三方的网站代码,例如促销广告,那么第三方网站也会在访客的计算机上添加session/cookie,这种就是第三方session/cookie。

IE限制第三方session/cookie

随着IE版本的不断更新,版本之间变化很大,其兼容性问题困扰着许多开发者。本问题也不例外,IE7以后,微软逐渐改进了IE安全性,其中默认设置下第三方session/cookie是不允许使用的,这就造成了使用iframe嵌入式访问另外的第三方网站时,不能为其保存会话状态,无法进行登录或跨越取值,从而影响第三方网站功能的使用。

解决方法

手动调整客户端IE浏览器的安全级别

在Internet选项-隐私卡中,调低安全级别到接受所有cookie,或者在[高级]中设置接受第三方cookie。

点评:此方法需要使用者更改客户端浏览器设置,极不便利,且会给使用者电脑带来安全隐患,故不推荐。

代码中使用P3P协议自动更改IE浏览器安全级别

P3P(Platform for Privacy Preferences)是一种可以提供这种个人隐私保护策略。具体做法是在被iframe嵌入的第三方网站代码中加入如下代码: 

[java]  view plain copy
  1. response.setHeader("P3P","CP=\"IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT\"");  

要注意的有:

1、上段代码是jsp的,如果是asp或php等,需要改成相应的语法,参数和取值不变。如ruby为:

[ruby]  view plain copy
  1. response.headers["P3P"] = "CP=\"IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT\""  

2、此方法仅支持动态Web应用,也就是需要使用动态语言设置response的header,且如果是MVC架构的话,最好是在总控制器或过滤器中添加上段代码,这样改动最小。

点评:该方法不需要手动修改客户端IE设置,但需要修改第三方网站的代码,对于第三方网站不在控制范围内情况下无能为力。

在第三方网站服务器中设置P3P协议

第三方网站所使用的应用服务器程序,如果支持设置HTTP头,那么可以通过设置服务器而不必修改第三方网站代码。

例如IIS下,可以打开IIS窗口——〉选择一个网站——〉属性——〉http头,增加一个http头

然后输入头名:P3P

输入头内容:CP=CAO PSA OUR

点评:与上一个方法类似,此方法也要求第三方在可控可管理。

零度anngle
关注
专栏目录
iframecookie失效问题
weixin_30411239的博客
11-21 883
其根源也是由于iframe跨站点cookie被阻导致session失效。但是当时因为两个站点都是自有的服务器,因此通过设置了相同的父域名解决了此问题,所以后来也就没有深入研究此问题。 目前在开发新功能时,又一次遇到了此问题,但是如果仍旧通过更改域名的方式来解决的话,设计上可能就会非常麻烦。于是不得已彻底翻了一下资料,初步研究结果如下:问题根源: IE6/IE7支持的P3P(Pl...
通过iframe嵌套的不同域名的页面之间处理cookie存储失败的问题——js技能提升
最新发布
yehaocheng520的博客
07-22 1093
通过iframe嵌套的不同域名的页面之间处理cookie存储失败的问题——js技能提升
iframe跨域cookie问题
学习笔记
06-20 2458
今天在项目里面遇到了iframe跨域不能写cookie问题。应用场景是这样的:有A和B两个业务,A要通过iframe的方式嵌入B,但是在ie下A不能通过写cookie的方式记录信息,在firefox和chrome下可以正常写cookie。如果将ie的安全级别调到低,接受未明确的cookie,就可以。最后采用的方案是在A页面检查没有cooke信息,就临时跳转到A域名下的页面写cookie,然后再跳
IE下Iframe跨域访问不能写cookie的解决方法
yugenning的专栏
11-05 314
        最近做了一个系统,需要链入另外一个系统的页面,姑且称为 系统A 链入系统B的页面,采用iframe引用B的页面; 在测试环境的时候,访问一切正常;到了正式环境,发现有部分人在系统A访问iframe引用的 B系统的页面,出现session丢失的问题;         比较两边环境,发现测试环境中系统A和B都在一个主机上,而正式环境系统A和系统B是分开部署的。而IE的ifram...
iframesession cookies失效
High_Mount的专栏
07-30 2478
  一段解决IFRAMESESSION无法保留的代码.ASP直接在头部加了头部申明,测试有效。php的话,我没去试,应该是如下写法:header(P3P: CP=CAO PSA OUR);ASP.NET的话通过在代码上加Response.AddHeader("P3P", "CP=CAO PSA OUR")或者在Window服务中将ASP.NET S
iframe跨域session失效问题的解决办法
01-21
何为跨域跨域session/cookie? 也就是第三方session/cookie。第一方session/cookie指的是访客当前访问的网站给访客的浏览器设置的seesion /cookie, 会被存储在访客的计算机上。第三方session/cookie指的是当前访问的...
关于Iframe如何跨域访问CookieSession的解决方法
10-27
本文主要探讨如何解决Iframe跨域访问CookieSession问题。 首先,理解跨域访问的基本概念。在Web浏览器的安全策略中,同源策略(Same-origin policy)禁止了一个源(协议+域名+端口)的文档或脚本直接获取另一个...
解决前后端分离 vue+springboot 跨域 session+cookie失效问题
01-19
环境: 前端 vue ip地址:192.168.1.205 ...搜索问题,发现跨域,服务器响应的setCookie浏览器无法保存,而且就算保存了域名不同也不能携带。 第一步: 后台添加过滤器,因为前后端分离,不可能每个方
PHP关于IE下的iframe跨域导致session丢失问题解决方法
12-19
总的来说,针对IE浏览器中iframe跨域导致Session丢失的问题,关键在于理解浏览器对跨域Cookie的处理方式,特别是IE的独特限制。通过设置P3P头,可以通知浏览器允许iframe内的页面使用和共享Session,从而修复登录和...
csrf验证问题 -- 不同域名下Iframe嵌套Cookie失效导致csrf验证失败
qq_43539962的博客
10-11 2147
Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,主要用于防止CSRF攻击和用户追踪。cookie的SameSite属性用来限制第三方Cookie,从而减少安全风险(防止CSRF)。在Chrome80之前默认None,在Chrome80之后,由于SameSite默认值是Lax。从上图可以看出,SameSite从None改成了Lax后,Form, Iframe, Ajax和Image中跨站的请求受到的影响最大。
为什么iframe里的网页不能获取cookie
ivan5277的博客
04-08 3513
对于旧版Internet Explorer浏览器(已不再主流支持),iframe内的网页可能需要遵循P3P(Platform for Privacy Preferences)隐私策略声明才能读取或写入cookie。当iframe加载的是与主页面不同源的网页时,由于同源策略的限制,iframe内部网页通常无法访问主页面的cookie,反之亦然。如果iframe加载的是第三方站点,浏览器可能会阻止iframe从顶级上下文中读取或写入cookie,特别是当涉及到用户隐私和安全时,这种限制更为严格。
iframe 内嵌第三方网站 cookie 失效,解决办法
weixin_44493841的博客
01-13 6209
iframe 内嵌第三方网站 cookie 失效,解决办法 网站iframe内嵌第三方带登录页的网站时,在ie和火狐和部分谷歌浏览器是可以的,但是在升级版的谷歌浏览器中是无法访问的 问题是谷歌浏览器在Chrome80后提示限制第三方cookie问题 解决方案: 方案1. 将SameSite属性值设为None, 同时将secure属性设置为true。且需要将后端服务域名必须使用https协议访问; 方案2. 由于设置SameSite = None,有SCRF风险。所以,最佳方案是用token代替Cookie
version: nginx/1.16.1 vhost.conf 原始文件格式
weixin_30510153的博客
08-16 461
server { listen 80; server_name localhost; #charset koi8-r; #access_log /var/log/nginx/host.access.log main; location / { root /usr/share/nginx/...
chrome80默认SameSite导致iframe无法获取cookie问题解决方法
weixin_43827743的博客
03-04 3753
项目背景及问题定位 项目背景 A网站(假设为http://SameSite.a.com)作为iframe内嵌在B网站(假设为http://test.a.com)。在B网站中加载A网站的时候,自动登录失效,导致接口一直重调。 问题定位 初步分析,A网站为第三方页面,将A网站直接在外部打开可以单独访问,排除A网站的问题 更换浏览器,在火狐和Edge中,A网站可正常在iframe中加载。初步定位为浏览器兼容问题 对比不能正常加载和正常加载的chrome浏览器版本,都更新到最新的89版本。发现状态没变.
iframecookie设置的问题
weixin_30423977的博客
07-18 1984
  万恶的IE安全设置问题,估计让不少人为之纠结,最近项目中又被狠狠的坑了一把... 在iframe嵌入页面中设置cookie,会发现cookie失效,取值都为空。在项目中表现为用户登录的登录名称,密码都为空,用户登录信息得不到验证,页面直接跳转至另一个项目的登录页。百度得知在IE下加入了以P3P为基础的隐私保护功能,当第三方站点设置cookie,IE会自动拦截。 只需要设置 P3P HTTP...
页面嵌入iframe Cookie丢失问题解决
花开的博客
01-17 3058
自身页面以iframe的形式嵌入三方页面中,双方域名不一致导致自身页面的cookie被某些浏览器拦截无法正常被保存到客户端。
iframe 跨域访问session/cookie丢失问题解决方法
qq_43679771的博客
02-21 6259
iframe 跨域访问session/cookie丢失问题解决方法
php抓取iframe cookie,iframe 跨域访问session/cookie丢失问题解决方法
weixin_29539581的博客
03-10 716
今天因工作需要,在一个域名A的页面中,使用iframe包含另一个域名B的页面。在chrome,firefox测试一切正常。当测试到IE7时,发现域名B中的页面session失效,不能写入session。网上搜索后了解, 因为IE有安全策略,限制页面不保存第三方cookie(当前访问域名A下的页面为第一方cookie,而域名B下的页面为第三方cookie)。虽然有安全策略限制,但我们可以引入P3P声...
springboot 跨域 session+cookie失效问题
08-29
Spring Boot 跨域Session Cookie失效问题的解决方法如下: 首先,跨域问题可以通过配置Spring Boot的CORS(跨源资源共享)来解决。在Spring Boot中,可以使用注解 `@CrossOrigin` 或在配置类中添加 `addCorsMappings` 方法来配置跨域的访问。 @CrossOrigin 注解可以应用在控制器类或方法上,指定允许跨域的来源、方法、头部、是否允许携带凭证(比如 Cookie)等参数。例如: ```java @CrossOrigin(origins = "http://localhost:8080", maxAge = 3600, allowCredentials = "true") @GetMapping("/example") public ResponseEntity<String> getExample() { // ... } ``` 另一种配置跨域的方法是创建配置类,并继承 `WebMvcConfigurer` 接口,并重写其 `addCorsMappings` 方法。例如: ```java @Configuration public class WebConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/api/**") .allowedOrigins("http://localhost:8080") .allowedMethods("GET", "POST") .allowCredentials(true) .maxAge(3600); } } ``` 其次,Session Cookie失效问题可以通过在跨域请求中添加凭证(Credentials)来解决。具体来说,可以将 `allowCredentials` 参数设置为 `true`,同时在请求头中添加 `withCredentials: true`。例如: ```javascript fetch('http://localhost:8080/api/example', { method: 'GET', credentials: 'include' // 或 'same-origin' }) ``` 这样配置后,Spring Boot就可以正常接收带有 Cookie跨域请求,并在服务端保持 Session 的有效性。 综上所述,通过配置跨域设置和同时在请求中添加凭证,可以解决Spring Boot跨域Session Cookie失效问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值