文档章节

P3P解决cookie跨域

G
 Galanodel
发布于 2017/05/05 09:34
字数 717
阅读 34
收藏 0

P3P是什么

P3P(Platform for Privacy Preferences)是W3C公布的一项隐私保护推荐标准,以为用户提供隐私保护。   P3P标准的构想是:Web 站点的隐私策略应该告之访问者该站点所收集的信息类型、信息将提供给哪些人、信息将被保留多少时间及其使用信息的方式,如站点应做诸如 “本网站将监测您所访问的页面以提高站点的使用率”或“本网站将尽可能为您提供更合适的广告”等申明。访问支持P3P网站的用户有权查看站点隐私报告,然 后决定是否接受cookie 或是否使用该网站。

 

利用P3P实现跨域

有别于JS跨域、IFRAME跨域等的常用处理办法,通过发送P3P头信息而实现的跨域。

 

PHP 使用P3P协议

  

header('P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"'); 

JS 使用P3P协议

xmlhttp.setRequestHeader( "P3P" , 'CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"' ); 

  

ASP.NET 使用P3P协议

HttpContext.Current.Response.AddHeader("p3p", "CP=\"IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT\"") 

  

JSP 使用P3P协议

response.addHeader("P3P", "CP=IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT"); 

 

策略说明

(http://www.w3.org/2002/04/P3Pv1-header.html)

compact-policy-field         =   `CP="` compact-policy `"`

compact-policy                = compact-token *(" " compact-token)

compact-token                = compact-access           |

                                          compact-disputes         |

                                          compact-remedies         |

                                          compact-non-identifiable |

                                          compact-purpose          |

                                          compact-recipient        |

                                          compact-retention        |

                                          compact-categories       |  

                                        compact-test  

compact-access           = "NOI" | "ALL" | "CAO" | "IDC" | "OTI" | "NON"

 compact-disputes            = "DSP"

 compact-remedies          = "COR" | "MON" | "LAW"

 compact-non-identifiable = "NID"

compact-purpose           = "CUR"        | "ADM" [creq] | "DEV" [creq] | "TAI" [creq] |

                                        "PSA" [creq] | "PSD" [creq] | "IVA" [creq] | "IVD" [creq] |

                                         "CON" [creq] | "HIS" [creq] | "TEL" [creq] | "OTP" [creq]  

creq                              = "a" | "i" | "o"  

compact-recipient        = "OUR" | "DEL" [creq] | "SAM" [creq] | "UNR" [creq] |

                                         "PUB" [creq] | "OTR" [creq]  

compact-retention          = "NOR" | "STP" | "LEG" | "BUS" | "IND"

 compact-category           = "PHY" | "ONL" | "UNI" | "PUR" | "FIN" | "COM" |  

                                         "NAV" | "INT" | "DEM" | "CNT" | "STA" | "POL" |

                                          "HEA" | "PRE" | "LOC" | "GOV" | "OTC"  

compact-test                  = "TST"

 

简洁策略

常用的简洁策略的 P3P头为 -   P3P : CP=CAO PSA OUR

最简洁的写法是 P3P:CP=.


compact-access(访问):  CAO - contact-and-other  允许第三方cookie的读写)
compact-purpose(目的):  PSA -  pseudo-analysis .目的就是做身份验证、分析
compact-recipient(受体):  OUR - ours 声明使用相关信息的人是谁,ours 第三方自己
 

 

浏览器支持情况

浏览器 默认允许第三方Cookie 是否支持P3P 禁止第三方Cookie后,配置P3P简明策略头的效果
IE6

HTTP可读写Cookie JS可读Cookie 首次读到P3P头,JS无写Cookie权限.第二次才OK

(第二次.直接Cache.也不行.除非第一次非Cache并读到p3p头.后面我会提到解决方案.)

应当避免JS的写操作

IE7-IE9

HTTP、JS,可随意读写.
FireFox HTTP、JS都不可读写
Chrome 部分支持,趋势-否 趋势为HTTP、JS可读不可写.
Safari HTTP、JS可读不可写
可以借助借助Post提交表单,实现写操作.
Opera

JS可读写 HTTP可读不可写.

 

 相关资料http://www.w3.org/P3P/

© 著作权归作者所有

共有 人打赏支持
G
粉丝 2
博文 72
码字总数 49356
作品 0
海淀
高级程序员
私信 提问
跨域登陆,IE下无法记录Cookie

作者:近乎团队 在Cookie规范上说,一个cookie只能用于一个域名,不能够发给其它的域名。当你在浏览器中对一个域名设置了一个cookie,这个 cookie对于其它的域名将无效。如果你想让你的用户从...

小近
2014/11/24
335
0
CP="CAO PSA OUR" 用P3P header解决iframe跨域访问cookie

1、IE浏览器iframe跨域丢失Session问题 在开发中,我们经常会遇到使用Frame来工作,而且有时是为了跟其他网站集成,应用到多域的情况下,而Iframe是不能保存Session的因此,网上可以找到很多...

随智阔
2013/10/23
0
0
IE iframe cookie问题(p3p)

前段时间碰到一个问题,就是在IE下,使用iFrame嵌入页面时,该页面的会话级别的cookie无法写入,导致服务端始终无法获取JSESSIONID,每次都是产生一个新的,使得Session无法使用。 只需要设置...

疯狂的艺术家
2012/03/14
0
0
同一IP不同端口访问的站点iframe应用session丢失怎么办?

在网站群的建设中,各子站需要共享主站的footer等公共信息。同时主站的后台管理也集成了各子站的管理,采取的方式是使用iframe嵌入各站的页面。在本机开发环境中,没有出现任何的问题。但是一...

oecp
2011/04/12
0
0
完全跨域单点登录解决方案[php+redis+p3p协议]

技术要点:COOKIE跨域 + SESSION共享 cookie跨域:让不同域下的session cookie有着同样的session id session共享:同一会话系统,客户端不同域下的session id相同故可访问相同的会话状态 完全...

big_cat
2015/11/11
0
0

没有更多内容

加载失败,请刷新页面

加载更多

js数组遍历和对象遍历

数组遍历 for for(var i=0,len=arr.length;i<len;i++){console.log(arr[i]);} forEach - ES5语法,性能比for弱,不能使用break终止循环,不能使用return arr.forEach(function(item,inde......

祖达
27分钟前
2
0
Java网络编程

基本概念 网络IO会涉及到同步,异步,阻塞,非阻塞等几个概念。 一个网络IO读取过程是数据从 网卡 到 内核缓冲区 到 用户内存 的过程。同步和异步区别在于数据从内核到用户内存的过程是否需要...

春哥大魔王的博客
49分钟前
2
0
Spring "reg:zookeeper" 的前缀 "reg" 未绑定等类似问题解决方案。

今天同事遇到一个Spring启动加载配置文件时,不识别reg:zookeeper标签的问题。 我查看配置,发现是Spring配置文件的头部没有引入reg标签的命名空间,具体如下图: 所以,以后遇到类似的标签未...

花漾年华
今天
2
0
阿里云领衔云市场

近期,2018年Q4及全年的全球云基础设施服务市场数据新鲜出炉,发布方是美国市场研究机构Synergy Research Group。这个机构是专做电信网络市场情报的公司,成立于1999年,每年都会公布各大公有...

linuxCool
今天
2
0
C++友元函数和友元类(C++ friend)详解

私有成员只能在类的成员函数内部访问,如果想在别处访问对象的私有成员,只能通过类提供的接口(成员函数)间接地进行。这固然能够带来数据隐藏的好处,利于将来程序的扩充,但也会增加程序书...

shzwork
今天
3
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部