同一IP不一樣端口訪問的站點iframe應用session丟失怎麼辦？

在網站羣的建設中，各子站須要共享主站的footer等公共信息。同時主站的後臺管理也集成了各子站的管理，採起的方式是使用iframe嵌入各站的頁面。在本機開發環境中，沒有出現任何的問題。可是一放到測試環境中，便遇到session丟失的問題。
        環境：應用服務器採用tomcat6.0，各個站點單獨使用一個應用服務器，部署在一臺物理服務器上。外部訪問採用同一個IP，可是不一樣的端口。
       起初覺得，IE它的安全策略默認是會把iframe中的頁面站點認爲是不可信任的，它會阻止該站點傳過來的cookie（若是你在iframe中的URL跳轉是用的localhost,則不會被阻擋），因此由於無法使用cookie了，session便失效了。解決的方法是在過濾器，或者被嵌入的頁面內加入屬性爲P3P的header信息。java爲：response.addHeader("P3P","CP=CAO PSA OUR");可是依然沒有成功。網上的解決方案都是這麼說，何況本身之前還弄過，都成功過，此次怎麼弄都很差。
        今天腦子安靜下來，仔細的分析這裏面的緣由。若是是IE的安全限制，可是火狐、google瀏覽器沒有這樣的限制，爲何這兩個瀏覽器也出現這樣的狀況。這確定不單單和跨域引發的P3P的安全問題有關。因而在本機測試，經過iframe引入測試環境中的連接，設置了P3P，發現一切正常。這就更說明了，測試環境中的問題絕對不是P3P的問題了。並且使用了同一個IP，也應該沒有跨域的說法。那緣由究竟是什麼呢？
        慢慢的，我將視線注意到了端口上。這些網站的訪問方式都是：同一IP+不一樣端口，難道和端口有關係。上網搜，關於這方面的內容太少了，可是總算在零星的資源中，找到了裏面的緣由。IP相同的兩個session對應的cookie是同樣的，而不幸的是sessionID就保存在cookie中，這樣先訪問A，再訪問B的時候，B的sessionid會覆蓋A的sessionid。這個事情沒辦法解決，因此你不要搞兩個端口，最好是搞兩個IP。原來都是cookie惹的禍，它不會區分端口，形成這多個站點不斷的後來的覆蓋前面的，從而形成session的丟失。問題解決了，將相互有引用的應用架構在不一樣的虛擬主機中，或者映射不一樣的IP。

 

本文轉載自oecp社區http://www.oecp.cn/hi/yongtree/blog/1165