iframe 跨域访问session/cookie丢失问题解决方法
iframe 跨域访问session/cookie丢失问题解决方法
蜗牛奔跑 发表于2年前
iframe 跨域访问session/cookie丢失问题解决方法
  • 发表于 2年前
  • 阅读 35
  • 收藏 1
  • 点赞 1
  • 评论 0

腾讯云 新注册用户 域名抢购1元起>>>   

摘要: iframe 跨域访问session/cookie丢失问题解决方法

今天因工作需要,在一个域名A的页面中,使用iframe包含另一个域名B的页面。在chrome,firefox测试一切正常。

当测试到IE7时,发现域名B中的页面session失效,不能写入session。


网上搜索后了解, 因为IE有安全策略,限制页面不保存第三方cookie(当前访问域名A下的页面为第一方cookie,而域名B下的页面为第三方cookie)。

虽然有安全策略限制,但我们可以引入P3P声明允许第三方收集个人信息,使第三方cookie不被拒绝。


P3P:Platform for Privacy Preferences(隐私偏好平台)是W3C公布的一项隐私保护推荐标准,能够保护在线隐私权。使用Internet者可以选择在浏览网页时,是否被第三方收集并利用自己的个人信息。如果一个站点不遵守P3P标准,它的Cookies将被自动拒绝。


在iframe的页面头加入以下语句即可解决session失效问题。

[php] view plain copy 在CODE上查看代码片派生到我的代码片

  1. header('P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"');  


a.com/index.php

[html] view plain copy 在CODE上查看代码片派生到我的代码片

  1. <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">  

  2. <html>  

  3.  <head>  

  4.   <meta http-equiv="content-type" content="text/html;charset=utf-8">  

  5.   <title> domain A page </title>  

  6.  </head>  

  7.   

  8.  <body>  

  9.   <p>A Page</p>  

  10.   <iframe src="http://b.com/index.php"></iframe>  

  11.  </body>  

  12. </html>  


b.com/index.php

[php] view plain copy 在CODE上查看代码片派生到我的代码片

  1. <?php  

  2. header('P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"');  

  3. session_start();  

  4. $_SESSION['code'] = md5(microtime(true));  

  5. ?>  

  6. <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">  

  7. <html>  

  8.  <head>  

  9.   <meta http-equiv="content-type" content="text/html;charset=utf-8">  

  10.   <title> domain B page </title>  

  11.  </head>  

  12.   

  13.  <body>  

  14.   <p>B Page</p>  

  15.   <?php  

  16.   if(isset($_SESSION['code'])){  

  17.     echo 'code:'.$_SESSION['code'];  

  18.   }  

  19.   ?>  

  20.  </body>  

  21. </html>  


IE iframe 跨域访问session问题解决了,但测试后发现,即使加入了P3P,safari浏览器依然不能保存iframe页面中的session。


原来safari的安全策略是,当cookie并未以第一方cookie保存过的(非iframe),将判断为不安全而直接拒绝。因此与IE的P3P有些不同。


解决方法如下:

首先在iframe的页面中判断某个session值是否存在。如果不存在,使用js修改window.top.location跳到一个本域的setSession.php页面。

因为是用window.top.location打开,因此并非iframe去访问,且能以第一方cookie保存.

然后在setSession.php页面执行完set session后,会跳回A域名的页面。之后就能使用session而不失效了。


代码如下:

a.com/index.php

[html] view plain copy 在CODE上查看代码片派生到我的代码片

  1. <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">  

  2. <html>  

  3.  <head>  

  4.   <meta http-equiv="content-type" content="text/html;charset=utf-8">  

  5.   <title> domain A page </title>  

  6.  </head>  

  7.   

  8.  <body>  

  9.   <p>A Page</p>  

  10.   <iframe src="http://b.com/index.php"></iframe>  

  11.  </body>  

  12. </html>  


b.com/index.php

[php] view plain copy 在CODE上查看代码片派生到我的代码片

  1. <?php  

  2. header('P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"');  

  3. session_start();  

  4.   

  5. $ua = $_SERVER['HTTP_USER_AGENT'];  

  6. // 如果是safari  

  7. if(strstr($ua'Safari')!='' && strstr($ua'Chrome')==''){  

  8.     // 如果未设置第一方cookie  

  9.     if(!isset($_SESSION['safari'])){  

  10.         echo '<script type="text/javascript"> window.top.location="http://b.com/setSession.php"; </script>';  

  11.         exit();  

  12.     }  

  13. }  

  14.   

  15. $_SESSION['code'] = md5(microtime(true));  

  16. ?>  

  17. <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">  

  18. <html>  

  19.  <head>  

  20.   <meta http-equiv="content-type" content="text/html;charset=utf-8">  

  21.   <title> domain B page </title>  

  22.  </head>  

  23.   

  24.  <body>  

  25.   <p>B Page</p>  

  26.   <?php  

  27.   if(isset($_SESSION['code'])){  

  28.     echo 'code:'.$_SESSION['code'];  

  29.   }  

  30.   ?>  

  31.  </body>  

  32. </html>  


b.com/setSession.php

[php] view plain copy 在CODE上查看代码片派生到我的代码片

  1. <?php  

  2. header('P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"');  

  3. session_start();  

  4. $_SESSION['safari'] = 1;  

  5. header('location:http://a.com/index.php');  

  6. ?>  



源码下载地址:点击查看



共有 人打赏支持
粉丝 33
博文 573
码字总数 109230
×
蜗牛奔跑
如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!
* 金额(元)
¥1 ¥5 ¥10 ¥20 其他金额
打赏人
留言
* 支付类型
微信扫码支付
打赏金额:
已支付成功
打赏金额: