IE iframe cookie问题(p3p) 前段时间碰到一个问题,就是在IE下,使用iFrame嵌入页面时,该页面的会话级别的cookie无法写入,导致服务端始终无法获取JSESSIONID,每次都是产生一个新的,使得Session无法使用. 当时发生问题的时候是自进行CAS登陆框嵌入,现象就是CAS的lt不更新,一开始以为是iFrame缓存的原因,经过细心的排查发现并不是,然后将想到跨域问题,经过排查发现也不是,甚至怀疑到spring产生lt值得机制存在问题,最终发现是Session无法正…

项目中,在做门户系统时,使用了iframe嵌套展示各个子系统的页面,其中有个页面在ie8下,始终无法正常登陆. 后来项目经理分析,应该是iframe跨域导致,赶忙查看了连接地址,还真是一个跨域的页面. 于是想到了p3p方案(网上查到了一些设置): 只需要设置 P3P HTTP Header,在隐含 iframe 里面跨域设置 cookie 就可以成功. (‘在隐含 iframe 里面’这里应该指的是iframe的src那个页面吧,不过我是在主页面和嵌套页面都设置了,有机会再确认下) ASP直接在…

前一阵子,我们发现高版本的Safari中默认会阻止第三方cookie,如下图所示. 问题 什么是第三方cookie呢?在访问一个网站A时,网站A算作第一方,如果网站A中引用了另一个网站X(网站X的域名与网站A的域名不同)的资源,这时这个网站X就被认为是第三方.需要注意的是,这儿区分不同网站的标准是域名是否相同,而不是这两个网站是否由同一个公司运营.比如,taobao.com和tmall.com被认为是两个网站,尽管它们都属于阿里集团. 在网站建设中,使用第三方资源非常常见,大多数据情况下,这并不…

PHP的setcookie函数可以设置域,但是只能在当前域内,如果出现多域可由如下办法处理:实现原理:www.b.com/set_cookie.php   在b域名下设置a域名的cookie <script src="http://www.a.com/set_cookie.php"></script> www.a.com/get_cookie.php   在a域名下获取cookie print_r($_COOKIE); www.a.com/set_cookie.…

前段时间在项目里遇到了一个比较头疼的问题,就是高版本的Safari中默认会阻止第三方cookie,这使得使用Safari浏览器的用户无法按照正常的业务逻辑进行操作. 问题展现 知识点 什么是第三方cookie呢?在访问一个网站A时,网站A算作第一方,如果网站A中引用了另一个网站B(网站B的域名与网站A的域名不同)的资源,这时这个网站B就被认为是第三方.需要注意的是,这儿区分不同网站的标准是域名是否相同,而不是这两个网站是否由同一个公司运营.比如,taobao.com和tmall.com被认为是两…

Cookie机制:一般来说,同域内浏览器中发出的任何一个请求都会带上Cookie,无论请求什么资源,请求时,Cookie出现在请求头的Cookie字段中.服务端响应头的Set-Cookie字段可以添加.修改和删除Cookie,客户端通过javascript也可以添加.修改和删除Cookie.另外,Cookie是无法跨浏览器存在的. 利用Cookie机制,我们可以存储用户的会话信息,比如,用户登认证后的Session,之后同域内发出的请求都会带上认证后的会话信息,很方便.也因此,攻击者特别喜欢盗取…

P3P Made Simple By default, IE will reject cookies coming from 3rd-party contexts. A 3rd-party context is one where the domain on the content is different than the domain of the page that pulls in that content. Possible third-party contexts include p…

HttpOniy Cookie机制 在http层面传输cookie,当设置HttpOnly标志后,客户端脚本就无法读写该cookie.可以用此防止xss攻击获取cookie <?php setcookie(,time()+,);//设置普通cookie setcookie(,time()+,,); //第7个参数(这里是最后一个)是HttpOnly标志,0为关闭,1为开启,默认为0 ?> Secure Cookie机制 Secure Cookie机制指的是设置了Secure标志的Cookie仅…

Cookie的基本概念和设置  Cookie在远程浏览器端存储数据并以此跟踪和识别用户的机制.从实现上说,Cookie是存储在客户端上的小段数据,浏览器(即客户端)通过HTTP协议和服务器端进行Cookie交互.      注意 这里说的是客户端而不是浏览器,实际能管理Cookie的不仅仅是浏览器,当然最常见的是由浏览器管理Cookie,后面的叙述中不再区分这两个概念.       Cookie独立语言存在,也就是说,不论PHP还是JSP种下的Cookie,其本质都是一样的,客户端脚本(如Jav…

先来说说什么是单点登录(SSO).来自百科的介绍:SSO英文全称Single Sign On,单点登录.SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统.它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制.它是目前比较流行的企业业务整合的解决方案之一. 首先想到的单点登录, 应该就是, 在某个服务器或者站点进行登录, 登录之后携带登录ticket, 跳转到原来登录的站点.原来登录的站点通过远程验证ticket是否合法.这个方法很容易, 只要所有连接都…