third-party cookies that save information that can be used to contact you without your explicit consent被阻止的 IE8 状态中的“中等安全性” 。
什么是最广泛的 P3P 标头,意味着我们不收集此类信息,也不会被 IE 阻止?
我想跳过 P3P 政策中令人讨厌的细节,只设置暗示法律义务最少的标题。它的语义应该是:
we collect everything except information that can be used to contact you.
...没有指定任何其他内容。
请注意,大多数 P3P 标头都是包容性的 - 如果它们不存在,则不允许您为此目的使用信息 - 所以我正在寻找的 P3P 标头应该包含很多标志。
“我想跳过 P3P 政策中令人讨厌的细节”
P3P可以在没有有效紧凑隐私策略属性的情况下设置HTTP 标头。
脸书就是这样做的。这是P3P来自 facebook.com 的 HTTP 标头:
P3P: CP="Facebook does not have a P3P policy. Learn why here: http://fb.me/p3p"
谷歌也这样做:
p3p: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."
这被 Internet Explorer 接受。例如,IE 的“高”隐私设置会阻止来自没有紧凑隐私策略的网站的所有 cookie,但不会阻止带有上述 P3P 非策略的 cookie。
如果您实施此类 P3P 非策略,请确保包含解释它不是真正 P3P 策略的自然语言,避免使用有效的 P3P 令牌,并链接到更长解释的 URL 或您网站的真实隐私政策。
更新:2012 年,微软指责谷歌因为这种做法绕过了用户隐私设置,他们在 IE 10 和 11 中添加了“严格的 P3P 验证”设置。启用后,它会拒绝伴随包含未定义令牌的 P3P 策略的 cookie。我相信默认情况下该设置被禁用。
微软最终在 Windows 10 中放弃了 P3P。因此对于 Edge(以及 Windows 10 上的 IE 11),P3P 策略与 cookie 的接受度无关。
您可以检查User-Agent请求标头,以便仅P3P在受影响的 IE 版本上设置标头。
根据我的测试,这些 P3P 属性中的任何一个都会阻止 IE8 保存第 3 方 cookie:
CON、电话、PHY、ONL、FIN、GOV
CON
信息可用于通过语音电话以外的通信渠道联系个人,以推广产品或服务。这包括通知访问者有关网站的更新。
电话
信息可用于通过语音电话联系个人以推广产品或服务。
物理层
允许在物理世界中联系或定位个人的信息——例如电话号码或地址。
在线
允许在 Internet 上联系或定位个人的信息 - 例如电子邮件。通常,此信息独立于用于访问网络的特定计算机。(参见类别 COM)
鳍
有关个人财务的信息,包括帐户状态和活动信息,例如帐户余额、付款或透支历史记录,以及有关个人购买或使用金融工具的信息,包括信用卡或借记卡信息。
因此,如果您希望 IE8 不阻止您,请不要包含它们。我发现以下标志是最广泛、最合法的标志,同时在 IE 中仍然运行良好:
NON DSP LAW CUR ADM DEV TAI PSA PSD HIS OUR DEL IND UNI PUR COM NAV INT DEM CNT STA POL HEA PRE LOC IVD SAM IVA OTC
权威列表位于MSDN。在该页面中搜索Unsatisfactory Cookie Tags.