问题标签 [p3p]

我试图了解在我的 Facebook 应用程序中设置紧凑 p3p 标头的技术含义。有人对我说，在我的网站 (iframe) 中设置 p3p 标头将允许 Facebook（父级）读取我的 cookie。

我不相信这种情况，据我了解，p3p（只是）我（作为网站所有者）和用户（互联网浏览器）之间的法律约束力。

如果有人可以向我指出解释这一点的权威信息（用人类可读的语言），我将非常感激。我已经阅读了所有 w3c 文档，但找不到我要找的东西。

我正在尝试让我们的 P3P 实现工作。我们已经制定了必要的政策。我们有带有紧凑策略 CP="some text here..." 的元标记。我们在我们的网站上关闭了 cookie，启动了应用程序，但我们收到一条错误消息，指出 cookie 已被阻止。我们能够查看摘要，因此它符合我们设置的政策。这是有道理的，因为我们关闭了 cookie 但设置了策略等，这不应该只允许 cookie 通过吗？再说一次，也许我不确定预期的结果是什么。

任何帮助将不胜感激。

大卫·W。

我在这里看到了很多关于如何让 cookie 在 IE 的 iframe 中工作的帖子，并且我尝试了几种解决方案，但到目前为止都没有运气。这是我正在处理的问题：

• 我有一个通过 Javascript 在客户网站（小部件）上创建的 iframe。我无法控制客户的网站。我需要设置 cookie 以使用户在 iframe 中保持登录状态，它适用于 Chrome 和 Firefox，但不适用于 IE 7/8。我没有测试过 IE 6，但我认为它也有同样的问题。

• 我使用 IBM 的策略编辑器创建了一个 P3P 策略，编辑器说紧凑策略在 IE 的安全性下是可以接受的，无论设置为低、中还是高。我使用的CP是：

P3P: policyref="/w3c/p3p.xml" CP="CAO DSP COR CURa ADMa DEVa PSAa PSDa CONi TELi OUR IND PHY ONL UNI COM NAV INT DEM CNT PRE" （我尝试了其他几个人们认为有效的 CP，但结果没有任何差异。）

• 网络服务器 (NGINX) 为每个文件提供此 P3P 标头。我不是从代码中提供它。

• p3p.xml 文件存在并且匹配紧凑策略。p3p.xml 使用 W3C P3P 验证器进行验证。

• 即使使用 P3P 标头（无论我尝试了哪一个），IE 都会在底部的状态栏中给我“邪恶的眼睛”，并且不会让我设置 cookie。它们在隐私报告中显示为已阻止。

• 我阅读了 Piskvor 关于这个主题的帖子：Cookie 被阻止/未保存在 Internet Explorer 的 IFRAME 中，但我无法重现他在演示站点上所做的事情：http: //newmoon.wz.cz/test /page.php?send_p3p=1。我认为这是因为我得到了邪恶的眼睛而他没有。我已经完成了我所读到的一切作为摆脱邪恶的建议，但它仍然存在。嘲笑我。

• 如果您想尝试一下，我的测试页面在这里：http: //truelike.com/js/bobs/frametest.php设置/读取页面在 iframe 外部查看时工作正常，但在内部根本不工作使用 IE 时。

• 作为参考，我在后端使用 PHP。

任何帮助都将不胜感激 - 我们在这里变得绝望。

谢谢！

不久前我问了这个问题，发现 IE 会阻止 iframe 中的跨域 cookie，除非你设置了p3p policy。到目前为止，p3p 修复在 ie 中运行良好。但是，现在我们在 Safari 中遇到了同样的错误。

我发现一篇关于 safari的p3p 政策不同的文章。我添加了此代码来设置 p3p 策略，但我仍然收到请求验证令牌错误。

我不确定这意味着什么，但它不适用于 Safari (5)。

此外，当我收到服务器错误时，所有信息都会在报告中发送给我，包括所有 http 标头。p3p 标头永远不会出现在这些错误中。我不确定这是设计使然，还是表明问题正在发生。

我们的应用程序托管在 Facebook 中。如您所知，Facebook 在 IFrame 中托管第三方应用程序。您可能还知道，如果 Iframe 中的网站和父网站位于不同的域中，则没有紧凑策略的第 3 方（跨域）cookie 将在 IE 中被阻止用于中等隐私设置。因此，需要为网站配置一个紧凑的 p3p 策略。我的一般问题是：在 Azure 上执行此操作的推荐方法是什么。我将不胜感激有关此的任何文件。我看了又看，只能找到对我不起作用的点点滴滴。

注意，我已经创建了 p3p 策略文件（html、xml、压缩和参考文件）。所以基本上我认为我拥有我需要的所有作品。我只是错过了如何启用它们的说明。

进一步的子问题：

每次请求页面时，我是否必须将紧凑 p3p 策略作为响应标头的一部分提供？

或者

我可以在 Azure 上配置 IIS 以设置整个站点的标头吗？我找到了这个链接

http://richardprodger.wordpress.com/2011/04/06/p3p-and-iis-in-azure/

讨论如何在 Azure 上创建和运行 appcommand。但是，当我这样做并尝试部署时，我的角色实例永远不会启动。它们无限悬挂。

亲切的问候，

阿基尔

在过去的几周里，我试图找出在 IE 中保存会话 cookie 的问题。我们的应用程序在 iFrame 内运行，因此 cookie 被认为是第 3 方。

我知道 IE 6 和 7 所需的 P3P 标头，但由于某种原因，我仍然看到许多 IE6/7 用户从不保存 cookie。我也无法在我们自己的机器上重现它。

我尝试了以下 P3P 标头： CP=\"IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT\"

有谁知道 IE6/7 保存 3rd 方 cookie 的确切要求？我在任何地方都找不到它。

注意：我知道这个话题已经讨论过很多次了，而且我已经阅读了几乎所有关于这个话题的帖子。

谢谢， Shlomi Fruchter

我和我的联合创始人正在尝试让P3P 紧凑策略与 Azure 一起使用，以便IE 用户可以登录到我们的Facebook 应用程序，该应用程序托管在 Canvas IFRAME中。

我们已经完成了制定紧凑策略的工作，并生成了所有的 XML 优点。那部分已经完成。但是我们没有任何运气让 Azure 做正确的事情。

我们按照这个链接的步骤，想：“哇！这看起来很容易。” 好吧，事实并非如此。执行完这些步骤后，我们的 Azure 服务器陷入了明显的无限循环。

http://richardprodger.wordpress.com/2011/04/06/p3p-and-iis-in-azure/

如果你设法让P3P 和 Azure 很好地结合在一起，你能告诉我们你做了什么吗？我上面链接的博客条目有多准确？任何帮助将不胜感激。我们明天（6 月 6 日）将进行硬启动。

[编辑]

我的联合创始人认为这个问题可能与 Azure 没有带入 *.cmd 文件或 *.P3P 文件有关。他认为我们可能需要明确告诉 Azure 这些文件是解决方案的一部分。（显然，此时，我们是在黑暗中拍摄。）

我在 iframe 中有一个联系表单，它使用验证码，因此需要会话变量。它在除 IE9 之外的所有浏览器中都能正常工作。为了让它在 IE8 中工作，我在 php 文档的开头添加了以下行：

但是，这在 IE9 中似乎不起作用。有任何想法吗？

标头用于允许通过 iframe 在 IE 中进行跨域请求。我已经测试过添加这个，我的代码现在在 IE 中按预期执行。

添加此标头可能会带来什么危害？

我正在尝试在通过 iFrame 访问的外部网站上设置自动登录脚本。

即 iframe url="http://www.othersite.com/autologin/?token=029dd3df34ds"

该脚本应该只针对 DB 检查令牌，如果成功则设置登录会话，然后重定向。

只是未能设置会话，我不知道为什么。

奇怪的是，这个外部站点上的正常登录表单（类似登录、会话处理）确实有效。

在这两种情况下，我都在使用header('P3P: CP="CAO PSA OUR"');

有什么想法吗？