iframe跨域与session失效问题的解决办法
字体：[ ] 类型：转载 时间：
这篇文章主要介绍了iframe跨域与session失效问题的解决办法，有需要的朋友可以参考一下
何为跨域跨域session/cookie？
也就是第三方session/cookie。第一方session/cookie指的是访客当前访问的网站给访客的浏览器设置的seesion /cookie, 会被存储在访客的计算机上。第三方session/cookie指的是当前访问的网站中会加载（嵌入）另外第三方的网站代码，例如促销广告，那么第三方网 站也会在访客的计算机上添加session/cookie，这种就是第三方session/cookie。
在开发讯息在线产品（http://iap.pgia.net）测试各种浏览器的兼容性时，发现IE浏览器（v7\8）都无法登录（总是提示验证码不匹配错误），而其它浏览器无此问题（firefox、百度等）。因此可以断定这和浏览器脱不了干系。
初步分析：
细查发现，在使用IE浏览器（v7\8）访问时，服务器端日志中显示sessionId一直在变化，每次请求都会产生一个全新的sessionId.
显然这是导致无法登录的直接唯一原因，如果解决这个问题则可正常登录。
深入分析：
为什么在IE浏览器（v7\8）上会出现这种情况呢，百度了解后得知：
出于隐私安全的考虑，IE会丢失Iframe中的Cookie，IE6/IE7支持的P3P(Platform for Privacy Preferences Project (P3P) specification)协议默认阻止第三方无隐私安全声明的cookie，Firefox、Chrome 不存在此问题。
我们知道Session 其实就是基于Cookie的。客户端在第一次与服务器建立会话时，会分配给客户端一个随机的sessionId，并存于客户端cookie中，然后在之后的请求中，会带上这个Cookie，如果在客户端找不到这样的Cookie，那么服务器就会重新分配一个。
而我的应用结构恰恰如此，即内置一个iframe嵌入远程应用来实现的。
解决办法：
要解决这个问题就是要在请求时添加“P3P”协议。那么如何实现呢？
在框架页面加入如下代码： 代码如下:&%&&& // 解决IE7\8跨域访问问题&& response.setHeader("P3P","CP=\"IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT\"");&& %&至此，问题已解决
您可能感兴趣的文章:
大家感兴趣的内容
12345678910
最近更新的内容
常用在线小工具怎么用js跨域读到iframe里的cookie?
出于安全性考虑，浏览器会阻止你直接跨域读另一个 origin 下 iframe 的 cookie关于 iframe 跨域通信看我另一个回答
已有帐号？
社交帐号登录
无法登录？
社交帐号登录结合实践谈谈cookie和session——cookie跨域session共享 - 推酷
结合实践谈谈cookie和session——cookie跨域session共享
想必做过http开发的小伙伴们都知道cookie和session，cookie是存储在客户端的，session是存储在服务器的。关于cookie和session的理论和区别网上有很多相关的说明，这里就不再多说了。
本篇主要通过一些实践中的案例和大家分享一下踩到坑，重点说明了cookie跨域问题和session服务器共享问题，以php语言为使用语言进行说明。
先聊聊cookie
设置cookie无效
setcookie(&sso&, &e589hR6VnO8K1CNQZ4PSP/LWGBhRKE5VckawQwl1TdE8d4Q5E7tW&, 900);
这个问题很多刚入门php的小伙们都会碰到。这个代码的本意应当是想设置cookie sso的有效期为15分钟，可是执行这个代码后发现没有效果。为什么呢？因为第三个参数expire表示的是过期的时间节点，而不是有效时间，所以如果希望设置cookie为15分钟，正确的做法应当是获取当前的时间戳加上15分钟。
setcookie(&sso&, &e589hR6VnO8K1CNQZ4PSP/LWGBhRKE5VckawQwl1TdE8d4Q5E7tW&, time() + 900);
setcookie这个函数还有path、domain参数都比较常用，强烈建议刚学php的小伙们多翻阅手册。php手册地址： http://php.net/manual/zh/index.php
获取cookie值获取不到
先看这样一段代码
setcookie(&sso&, &e589hR6VnO8K1CNQZ4PSP/LWGBhRKE5VckawQwl1TdE8d4Q5E7tW&, time() + 900);
var_dump($_COOKIE[&sso&]);
明明设置了cookie，为什么第一次刷新页面取不到值，第二次刷新页面就可以了呢？
要解决这个问题，要先了解一下setcookie后发生了什么？因为cookie是保存在客户端的，php是服务端语言，实际上setcookie之后只是在返回的http头增加一个cookie的头信息，告诉客户端需要设置一个酱紫的cookie，如下图：
php中setcookie返回的http头
而$_COOKIE这个数组里面保存客户端传递上来的cookie。自然第一次刷新的时候因为客户端没有相应的cookie值，所以$_COOKIE是没有sso的信息的。第一次请求过后，因为服务器设置了cookie sso，所以第一次请求过来客户端就有了cookie sso的信息，所以第二次请求的时候就会带上sso的信息，服务端就能通过$_COOKIE取到值了。
cookie跨域问题
这个可以说是cookie中一个比较热门的问题，面试的时候一般很爱聊这方面的问题。
跨域的业务需求大概是酱紫：用户在a.com进行了登录，希望在b.com也同步进行了登录。如果是同一个主域比较简单，可以通过setcookie中的domain参数进行设定：例如有和，可以通过设置domain为a.com，从而a.com的所有二级域名都可以共享这一个cookie。基于安全方面的原因，在a.com下面设置domain为b.com是无效的。
那么是否真的没有办法可以实现这个了呢？这个还是有一些奇巧淫技的，这里介绍一种使用内框iframe的方法。
具体思路：在a.com下设置cookie后，嵌入一个iframe框链接b.com的页面，b.com设置好页面cookie后，再嵌入一个a.com的页面，然后通过parent.parent就可以调用最外层的a.com的js方法，从而进行跳转或者一些其它的操作。具体代码示例如下：
假设a.com有页面：login.php和callback.php，b.com有页面synclogin.php
<的login.php代码：
$sso = &e589hR6VnO8K1CNQZ4PSP/LWGBhRKE5VckawQwl1TdE8d4Q5E7tW&;
setcookie(&sso&, $sso);
login success...
&script type=&text/javascript&&
function jumpTo() {
location.href = &http://a.com&;
&iframe src=&http://b.com/synclogin.php?sso=&?php echo $ ?&&&&/iframe&
<的synclogin.php页面
setcookie(&sso&, $_GET[&sso&]);
&iframe src=&http://a.com/callback.php&&&/iframe&
<的callback.php页面
&script type=&text/javascript&&
parent.parent.jumpTo();
代码看起来也不难，值得一提的是这里嵌入了两个iframe，因为如果只用一个iframe的话，即在b.com的synclogin.php内直接调用父窗体的jumpTo方法，在有些浏览器下会提示没有权限的错误：
Error: Permission denied to access property
这里只是演示了cookie跨域同步的思路，具体细节还有很多可以改进的地方，比如iframe链接的页面可以考虑改成静态的页面，这样效率会比php动态页面快很多，还有像参数校验、多个主域（比如还有c.om）同时登录等等，这里就不再累述。
cookie的总结到这里就结束，如果你感觉有一些收获，可以在页面底部扫码给我打赏哟，感谢O(∩_∩)O~
$_SESSION没有值
这个session使用和cookie有一点不太一样，session使用前必须先调用session_start方法。否则会收到一个undefined的错误：
Notice: Undefined variable: _SESSION
session存储在哪
session存储在服务端，但是session究竟是存储在哪呢？php.ini中关于session有一个save_path的选项可以设置存放的目录，如果这个选项没有设置值，那么就存储在系统默认的tmp目录下。默认的tmp目录可以通过sys_get_temp_dir方法取到。
例如在mac下面，php的session一般会存储在/var/tmp目录下。
session_start();
echo session_id();//本例输出ipkl446enhae25uq92c28u4lo3
$_SESSION['name'] = &tony”;
$_SESSION['users'] = array(&tony&, &andy&);
通过session_id方法可以取到当前的session编号，通过这个编号可查看一下该session文件。
$ sudo more /var/tmp/sess_ipkl446enhae25uq92c28u4lo3
name|s:4:&tony&;users|a:2:{i:0;s:4:&tony&;i:1;s:4:&andy&;}
可以清楚的看到session存储数据的结构，其中值是用序列化的方式进行转化存储的。
session也用了cookie
session不是存储在服务端吗，怎么又和cookie扯上关系了？其实想想也简单，因为客户端再请求的时候，服务端怎么样才能知道该客户端的session存储在哪个文件呢？其实也是通过cookie PHPSESSID来进行标识。
php中session的cookie标识
php在进行session操作的时候会生成一个session id，而后把这个值以cookie的形式保存在客户端，就是图示中的PHPSESSID了。客户端在下次请求的时候就会带上这个PHPSESSID，服务端就能知道当前客户端对应的session文件了。
session超时设置
cookie超时设置比较简单，一个参数就搞定了。session这边有点小麻烦，既不能单独设置cookie PHPSESSID的超时时间，也不能单独设置服务端文件的超时时间。具体的可以参考鸟哥这篇文章：如何设置一个严格30分钟过期的Session，真的非常严谨，赞一下。
session服务器共享
这个问题和cookie的跨域类似，面试的时候也很爱聊这个问题。
以前在做服务器集群的时候会碰到这样的一样问题，就是用户一会访问是处于正常登录状态，一会访问又没有登录了。这个问题偶尔才会出现。跟踪代码下去才发现session没有取到相应的值，想想也是醉了：原来服务器session没有设置共享，session存在在本地文件目录，当用户访问另外一台服务器的时候自然就取不到session了。
解决方法也不难，通过共享的存储在进行服务器之间的共享。这里使用redis的进行session存储。可以通过php.ini配置文件进行调整，也可以在代码中通过ini_set进行调整
ini_set(&session.save_handler&, &redis&);
ini_set(&session.save_path&, &tcp://127.0.0.1:6379”);
如果需要使用redis进行存储，需要session中的Registered save handlers支持redis
php中session是否支持redis
当这样设置之后，session就会保存在redis中了，不同的集群服务器之间就可以通过该redis服务器进行共享了。
好吧，暂时就写到这里了，以后会发现新的坑会继续补充上来。
已发表评论数()
已收藏到推刊！
请填写推刊名
描述不能大于100个字符!
权限设置： 公开
仅自己可见
正文不准确
标题不准确
排版有问题
没有分页内容
图片无法显示
视频无法显示
与原文不一致IE下iframe跨域调用session/cookie失效解决办法-android100学习网
IE下iframe跨域调用session/cookie失效解决办法
根据分析ie浏览器下导致iframe跨域登录的session与cookie无效丢失的原因是IE6/IE7支持的P3P(Platform for Privacy Preferences Projec
根据分析ie浏览器下导致iframe跨域登录的session与cookie无效丢失的原因是IE6/IE7支持的P3P(Platform for Privacy Preferences Project (P3P) specification)协议默认阻止第三方无隐私安全声明的cookie，所以就出现了这个问题解决办法只要利用header申明一下就可解决
在frameset里面，也就是里面的frame是来自第三方站点(不同IP或不同域名)，那么默认情况下IE会自动禁用这些站点的cookie，也就是在请求某url时在HTTP header里不发送它们的cookie，包括session的cookie。注意，这些站点在response里面设置的cookie还是会被发送到浏览器的。
在用户浏览a.php时 A.com写入的为第一方Cookie,其嵌入的iframe 指向b.php.这时B.com写入的就为第三方Cookie了，所以它是被IE当在了大门外。 所以,每次当用户提交的cookie提交时,就挂掉了.因为传不到真实的服务器.
IE6/IE7支持的P3P(Platform for Privacy Preferences Project (P3P) specification)协议默认阻止第三方无隐私安全声明的cookie&
PHP 的程序
可以直接在B网站中写入
header(‘P3P: CP=”CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR”‘)
这样就能接受第三方的Cookie啦。
一个简单的C#应用
if (Request.Browser.Browser.ToUpper().Contains("IE"))&&&&&&&&&&&&&&&
Response.Headers.Add("P3P", "CP=CAO PSA OUR");关于Iframe如何跨域访问Cookie和Session的解决方法
字体：[ ] 类型：转载 时间：
本篇文章小编将为大家介绍，关于Iframe如何跨域访问Cookie和Session的解决方法，有需要的朋友可以参考一下
最近做登录系统的整合，其中遇到的一个最关键的问题为在一个统一的后台里需要无障碍的访问另外一个系统后台，这个系统是第三方提供的一个加过密的系统，后台自动登录接口是自己分析出来的，没有单独提供，当从统一后台通过自动登录接口登录时，系统直接跳转到系统后台首页，后台登录成功后所跳转的URL这里没法指定，控制不了跳转的页面，如果在统一后台里需要链接到这个系统后台的另外一个页面，而非后台默认首页时，也就是将第三方系统后台的菜单功能放到我们这个统一后台里。
对于这样的一个需要，这里会遇到一个问题，为了能正常访问第三方系统的后台栏目，必需确保已经登录该系统，否则会提示用户登录，所以在点击这些菜单链接时，系统必需已经登录。
为了解决这个问题，在页面头部添加了一个不可见的iframe，使其指向到自动登录接口，这个接口如果正常通过浏览器地址栏访问，当用户名和密码验证无误时，会跳转到系统后台首页，由于此时放在了一个不可见的IFRAME中，所以跳转对当前后台页面没有任何影响。按照我的设计方法，系统应该就可以正常使用了。
但，既然说到但了，就说明肯定遇到了问题，不然这里不会来这么大的一个转折的。
但由于这里各系统均属于不同的系统，域名不一样，所以出现了Iframe在IE中，不能正常生成第三方系统Cookie的情况，但在Firefox和其它浏览器中均可生成，所以用IE访问时，总是跳转到登录页面。
这里需要说明一下，这里的第三方系统放在我们自己的服务器上的，只是所有源码加了密！
最后查阅了相关资料后，发现在IE中，为了安全，阻止了通过IFRAME生成第三方域的COOKIE，为了解决这个问题，MS规定只要在HTTP的HEADER头中，设定P3P这个头，就可以通过IFRAME来生成第三方COOKIE了。
PHP中，P3P HEADER 头的设置方法如下：
header(‘P3P: CP=”CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR”‘);
注意：这里的P3P需要添加到第三方域生成Cookie的那个文件才生效，否则无济于事。
这里又有问题了，第三方系统生成COOKIE在后台的一个叫admin.php的页面里生成的，而这个页面又是加过密的，这可怎么办了，想了很久，最后同事灵机一动，说我们可以用我们自己的文件来包含它。靠，这方法太妙了，为什么我就没有想到了，同事真是太有才了，真是佩服的五体投地，当然，我对他这么一佩服，据他说自己当晚也自己佩服了自己一晚上。
所以最后的解决方案为将原来的admin.php文件命名为admin_2.php，然后新建admin.php，最后在这个文件中，添加上面所的P3P这个HEADER头，并再次包含 admin_2.php这个文件，最终代码如下：
header(‘P3P: CP=”CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR”‘);include “admin_2.php”;
最后，问题彻底解决！
这里标题是COOKIE和SESSION的问题，实质上，基本上是一回事，SEESION最终的保存也是通过SESSION_ID保存到COOKIE源码天空，然后通过这个SID到服务器上找相应的SEESION数据，只要把COOKIE里的SEESION_ID这个COOKIE给删掉，SESSION也就失效了。
您可能感兴趣的文章:
大家感兴趣的内容
12345678910
最近更新的内容
常用在线小工具}