iframe 跨域訪問session/cookie丟失問題解決方法

今天因工做須要，在一個域名A的頁面中，使用iframe包含另外一個域名B的頁面。在chrome，firefox測試一切正常。

當測試到IE7時，發現域名B中的頁面session失效，不能寫入session。

網上搜索後瞭解， 由於IE有安全策略，限制頁面不保存第三方cookie(當前訪問域名A下的頁面爲第一方cookie，而域名B下的頁面爲第三方cookie)。

雖然有安全策略限制，但咱們能夠引入P3P聲明容許第三方收集我的信息，使第三方cookie不被拒絕。

P3P：Platform for Privacy Preferences（隱私偏好平臺）是W3C公佈的一項隱私保護推薦標準，可以保護在線隱私權。使用Internet者能夠選擇在瀏覽網頁時，是否被第三方收集並利用本身的我的信息。若是一個站點不遵照P3P標準，它的Cookies將被自動拒絕。

在iframe的頁面頭加入如下語句便可解決session失效問題。

[php] view plain copy 

1. header('P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"');  

a.com/index.php

[html] view plain copy 

1. <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">  

2. <html>  

3.  <head>  

4.   <meta http-equiv="content-type" content="text/html;charset=utf-8">  

5.   <title> domain A page </title>  

6.  </head>  

7.   

8.  <body>  

9.   <p>A Page</p>  

10.   <iframe src="http://b.com/index.php"></iframe>  

11.  </body>  

12. </html>  

b.com/index.php

[php] view plain copy 

1. <?php  

2. header('P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"');  

3. session_start();  

4. $_SESSION['code'] = md5(microtime(true));  

5. ?>  

6. <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">  

7. <html>  

8.  <head>  

9.   <meta http-equiv="content-type" content="text/html;charset=utf-8">  

10.   <title> domain B page </title>  

11.  </head>  

12.   

13.  <body>  

14.   <p>B Page</p>  

15.   <?php  

16.   if(isset($_SESSION['code'])){  

17.     echo 'code:'.$_SESSION['code'];  

18.   }  

19.   ?>  

20.  </body>  

21. </html>  

IE iframe 跨域訪問session問題解決了，但測試後發現，即便加入了P3P，safari瀏覽器依然不能保存iframe頁面中的session。

原來safari的安全策略是，當cookie並未以第一方cookie保存過的（非iframe），將判斷爲不安全而直接拒絕。所以與IE的P3P有些不一樣。

解決方法以下：

首先在iframe的頁面中判斷某個session值是否存在。若是不存在，使用js修改window.top.location跳到一個本域的setSession.php頁面。

由於是用window.top.location打開，所以並不是iframe去訪問，且能以第一方cookie保存.

而後在setSession.php頁面執行完set session後，會跳回A域名的頁面。以後就能使用session而不失效了。

代碼以下：

a.com/index.php

[html] view plain copy 

1. <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">  

2. <html>  

3.  <head>  

4.   <meta http-equiv="content-type" content="text/html;charset=utf-8">  

5.   <title> domain A page </title>  

6.  </head>  

7.   

8.  <body>  

9.   <p>A Page</p>  

10.   <iframe src="http://b.com/index.php"></iframe>  

11.  </body>  

12. </html>  

b.com/index.php

[php] view plain copy 

1. <?php  

2. header('P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"');  

3. session_start();  

4.   

5. $ua = $_SERVER['HTTP_USER_AGENT'];  

6. // 若是是safari  

7. if(strstr($ua, 'Safari')!='' && strstr($ua, 'Chrome')==''){  

8.     // 若是未設置第一方cookie  

9.     if(!isset($_SESSION['safari'])){  

10.         echo '<script type="text/javascript"> window.top.location="http://b.com/setSession.php"; </script>';  

11.         exit();  

12.     }  

13. }  

14.   

15. $_SESSION['code'] = md5(microtime(true));  

16. ?>  

17. <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">  

18. <html>  

19.  <head>  

20.   <meta http-equiv="content-type" content="text/html;charset=utf-8">  

21.   <title> domain B page </title>  

22.  </head>  

23.   

24.  <body>  

25.   <p>B Page</p>  

26.   <?php  

27.   if(isset($_SESSION['code'])){  

28.     echo 'code:'.$_SESSION['code'];  

29.   }  

30.   ?>  

31.  </body>  

32. </html>  

b.com/setSession.php

[php] view plain copy 

1. <?php  

2. header('P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"');  

3. session_start();  

4. $_SESSION['safari'] = 1;  

5. header('location:http://a.com/index.php');  

6. ?>  

源碼下載地址：點擊查看