问题标签 [p3p]

我正在运行一个 Drupal 7 站点并注意到 IE9 上的一个问题，当浏览器窗口关闭时，用户已注销。我们启用了“记住我”模块，并且 cookie 设置为不过期。在 Chrome 或任何其他浏览器上没有问题，您可以关闭浏览器，当您打开它时，用户仍处于登录状态。我在使用同一浏览器和计算机运行的任何其他 D7 网站上都没有看到此问题。主持人是Blackmesh。

settings.php has $cookie_domain = '.mydomain.com';我正在考虑将其更改为，$cookie_domain = 'www.mydomain.com';因为该站点始终重定向到 www 这对我来说很有意义，并且是我和我的系统管理员朋友同意的。

我正在考虑的一种潜在解决方案是将cookie域设置为settings.php $cookie_domain = 'www.mydomain.com';

我注意到网站上有一些 cookie 来自 www.my 域和一些来自 .mydomain

我发现了一些似乎有类似问题的线程。

http://forums.modx.com/thread/76947/ie-login-issue-with-www-vs-non-www-address

https://www.drupal.org/node/280623

我正在尝试在我的应用程序中打开一个 iframe 并且它没有加载，它给了我一个错误消息，如警告：无法验证 CSRF 令牌真实性并注销我。凸轮任何人建议什么可能是解决方法。塔恩克斯。

此链接（Iframe 导致 Can't Verify CSRF Token Authenticity n Rails）没有回答我的问题，我已经正确安装了 p3p gem，我的 iframe 加载正确，但是当时 iframe 中发生了任何请求，既没有 p3p 标头也没有 csrf 令牌被发送

这是我如何称呼我的 iframe

<iframe name="frmane" id="batch_grid_frame" src="<%= store_batches_path(@store, :id => @batch.id) %>" style="border:none; height:100%;width:100%;"></iframe>

我尝试了很多方法，但是在 iframe 中发出的请求上没有发送 p3p 标头或 csrf 令牌

我在一个已经运行多年的旧网站上工作，在最近的 Internet Explorer 更新之后，我们有一个基于 iframe 的下载在 IE9-11 中大部分时间从外部网络停止工作。它在我们的内部网络中总是可以正常工作。如果我们将该站点添加到受信任的站点，它会再次开始工作，但这对我们的客户来说不是一个可行的解决方案。

将 P3P 策略添加到站点会纠正此问题，还是我们需要做其他事情？

IE 和 Safari 浏览器在 iframe 中阻止跨域 cookie。

例如，我有两个网站，假设它们是example.com和anotherexample.net。

在example.com，我有一个页面http://example.com/someform.asp，在这个页面中我使用 cookie。当我http://example.com/someform.asp直接在浏览器中打开时，它工作正常。

在anotherexample.net，我有页面http://anotherexample.net/page.asp，这个页面包含一个IFRAME SRC="http://example.com/someform.asp". 现在，当我们http://anotherexample.net/page.asp在浏览器中打开页面时，cookieexample.com不会保存。在 Firefox 和 chrome 中不会出现这个问题。

我发现使用 p3p 策略我们可以解决这个问题，但是在 IIS 响应标头中设置低于 p3p 策略后，它仅适用于 IE。

但是，我在 Safari 中仍然遇到同样的错误。我尝试了如下不同的 p3p 策略值，但无法修复它。

有什么办法可以在 Safari 中完成这项工作吗？

我无法使用 jsonp 从域 A 到域 B 获取 cookie 信息。我已经让它适用于 Chrome 和 Firefox 等，但对于 IE 它不起作用。我正在执行从域 B 到域 A 的 jsonp 请求，该请求通过域 A 上的 php 在其中设置一个 cookie，然后我再次检查来自 B 的相同 cookie。然后将 cookie 中的信息打印到屏幕（域 A），以便我可以从域 B 中获取该信息并在那里设置一个反映该信息的 cookie（我知道安全风险，我不想同步敏感信息这里的信息，只是一个设置）。

所以，如前所述，这适用于 FF、Chrome 等。但在 IE 上，我看到只返回会话 cookie，而我设置的 cookie 不是（也不应该是）。

任何线索这里有什么问题？或者这甚至不可能？我也简单地尝试过CORS，但也有同样的问题。

我有以下测试设置：

域 A：（中心域）

登录.php

检查.php

域 B：

jsonp.html

每当我https://scholar.google.com/citations?user=N7m4vIQAAAAJ&hl=en在 Safari 和 Google Chrome 的私人窗口中运行该 url 时，Google 都会给出错误。

它仅发生在具有隐私浏览模式的第一个请求上。

有人知道为什么这只发生在特定环境中吗？这种情况从 3 天前就开始了。

-- 错误消息和捕获

Server Error We're sorry but it appears that there has been an internal server error while processing your request. Our engineers have been notified and are working to resolve the issue. Please try again later.

- - 添加

头文件包括

http header response Cache-Control: no-cache, must-revalidate Content-Encoding: gzip Content-Type: text/html; charset=UTF-8 Date: Mon, 16 Nov 2015 19:35:39 GMT Expires: Fri, 01 Jan 1990 00:00:00 GMT Pragma: no-cache Server: citations Set-Cookie: NID=73=eF98qod1NpYg7nb03RUToiSiacFgqNoZxQ4CuzqwGlQn53SoR7rHlzO0OExsmYkpRazROCQ3WqKoCsWKFPxp8dZr5pBra6nD1HPcxWUILl9gVAf5Q7GSQc3B0O3TP4gu; expires=Tue, 17-May-2016 19:35:39 GMT; path=/; domain=.google.com; HttpOnly X-Firefox-Spdy: h2 X-Frame-Options: SAMEORIGIN X-XSS-Protection: 1; mode=block p3p: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info." x-content-type-options: no sniff

微软已经删除了 P3P 策略，通过它我们可以在 Windows 8.1 及更早版本的 IE 中读取和创建第三方 cookie。但删除后，我们无法创建或读取第三方 cookie。

我们在 http://a.com 上建立了用于身份验证的集中系统，当用户通过 JSONP 请求登录http://b.com或http://c.com时，我们在http://a.com 上创建 cookie并始终从http://a.com读取 cookie以检查用户是否登录，并且我们通过这种技术在所有网站上共享会话。但是现在它在 Windows 10 上的 IE11 中不起作用，因为我们在使用登录时无法创建 cookie，并且无法读取其他站点上的 cookie。

我正在 Tomcat 和 AngularJS 前端编写一个带有 Java 后端的 Web 应用程序，并且在 Chrome、Firefox 等中都可以正常工作，但在 IE 11 中却不行。

问题是初始登录返回一个“Set-Cookie”，但该 cookie 不包含在后续请求中（在 Angular 2 中使用 $http）。

• 我正在运行本地 tomcat 服务器（所以没有时钟/时差问题）
• 登录同时返回“Set-Cookie”和 P3P 标头
• Angular http 服务默认设置为“withCredentials=true”
• 域名中没有下划线

登录电话：-

后续 API 调用：-

任何人都知道我错过了什么！？！？

我在 Safari 中遇到问题。我无法将第三方 cookie 或带有 iframe 的 Session 设置为 safari。我尝试了 p3p 标头，但它不起作用。...它在 IE 中工作

在标题脚本下方....

我整天都在试图弄清楚这一点。我有一个应用程序转发到另一个应用程序以处理登录。第一个应用程序重定向到一个 webAPI URL。然后，该 url 采用其中一个参数并创建一个令牌。然后它发送一个带有 Set-Cookie Header 的 403 响应。发送的 cookie 是该标头从未被设置。

经过大量研究后，我认为它可能需要一个 P#P 标头，因此我尝试了各种组合。

这是代码：

以下是我看到在浏览器中设置的标题：

请求 URL：删除，因为它不允许我发布它们？

t=bB%2B%2FpRLq%2BzobRcXgQuw5rjMa8Yeb1Wxb7qIZCtjLfwiN8RNT%2BQYjzIuWI9j3JPn4qnpXpgK%2F%2B6ucL96lBmpD6ryIbFJvP3yPOfJjXuZsECfWlj58etczEco79q0SNJj0c%2BwKLREh5FWMfTvN%2BQxSn8nMEr6JzS06CuPizM1k0Kef52ZrHVkxHDv6qVyGLJrxRFebwbpFT0LNMCCihJ%2BZ%2FbmfvvKl9lfg18vHT8nhL1dDtAlR0Fd%2FdSuB5L6Yg3Yj%3F%3FHKZNy0zYBTVwdL7NXMFGXw%3D%3D&forwardurl=http%3A%2F%2Flocalhost%3A4644%2FInternalMonitor.html

请求方法：GET

状态码：303 查看其他

远程地址：[::1]:4644

响应标头

缓存控制：无缓存

内容长度：0

日期：格林威治标准时间 2016 年 11 月 29 日星期二 22:58:11

位置：已删除，因为它不允许我发布它们

P3P:CP="IDC DSP COR IVAi IVDi OUR TST"

杂注：无缓存

服务器：Microsoft-IIS/10.0

CEC96FE7CB299930674745018B81BE606C6181F0A5C94AA6DB025A6B5829ABCABD4A7A075BE33246CBE151D320904AA3643C6AE7E4DBA553500AB19522970036DA64323E1A4352241DB8CF4FEE6FE121135DC9364F8A2C3ADA4346BAFBF8B18F7875F3; 过期=格林威治标准时间 2016 年 11 月 30 日星期三 22:58:12；域=本地主机；路径=/

X-AspNet-版本：4.0.30319

X-Powered-By:ASP.NET

X-SourceFiles:=?UTF-8?B?

YzpcVEZTXFZlc3RpZ29cVGVzdFxDZW50cmFsTW9uaXRvclxhcGlcQXV0aGVudGljYXRpb25Db250cm9s

bGVyXEF1dGhlbnRpY2F0ZQ==?=

请求标头

接受：text/html,application/xhtml+xml,application/xml;q=0.9,image/webp, / ;q=0。8

接受编码：gzip、deflate、sdch、br

接受语言：en-US,en;q=0.8

缓存控制：无缓存

连接：保持活动

Cookie：ASP.NET_SessionId=cnru1r4g0svzeomwglkwestw；.ASPXAUTH=1566301093F4FC41F147432F8A4B044E3A19EFC46C47A1BE54F95A98E08EE8952197E5212230F0416776480CA3496036DCA0C0B8AEF0D08675D4B20E655E107F055E1D60150BF84334F65FE63E134B0252EF3B8F02E1E0BC372DBA80006300215AAE095F4333F48BB04D0DF315D825BF1A1B0F27A81E32E82ACEEA791BF11551A8F96A1B0AED9EC11EEA5EF34AE03406; hoursDiffGMTTime=-5；屏幕分辨率=1920x1080；浏览器分辨率=1920x950；

主机：本地主机：4644

杂注：无缓存

升级不安全请求：1

用户代理：Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.99 Safari/537.36

查询字符串参数

t:bB+/pRLq+zobRcXgQuw5rjMa8Yeb1Wxb7qIZCtjLfwiN8RNT+QYjzIuWI9j3JPn4qnpXpgK/+6ucL96lBmpD6ryIbFJvP3yPOfJjXuZsECfWlj58etczEco79q0SNJj0c+wKLREh5FWMfTvN+QxSn8nMEr6JzS06CuPizM1k0Kef52ZrHVkxHDv6qVyGLJrxRFebwbpFT0LNMCCihJ+Z/bmfvvKl9lfg18vHT8nhL1dDtAlR0Fd/dSuB5L6Yg3Yj??HKZNy0zYBTVwdL7NXMFGXw== forwardurl: deleted because it won't let me post them

任何输入将不胜感激。