我们正在开发一个基于Flex的组件,该组件将托管在另一家公司的产品中。由于其托管环境的性质,Flash影片将以其自己的<iframe>标记运行。
Flex应用程序通过HTTPS调用我们的REST服务,并使用HTTP cookie进行身份验证。这适用于Chrome,Firefox,Safari ......除了IE之外的所有内容。我使用Fiddler比较了Chrome和IE的请求,并注意到它们是相同的,除了HTTP Cookie。 IE省略了几个,包括用于身份验证的那个。
有人能说清楚为什么会出现这种情况吗?
非常感谢。
答案 0 :(得分:1)
因此,问题肯定是IE的安全策略。默认情况下,IE将拒绝发送跨域cookie。简而言之,这意味着IE将设置cookie的唯一域是地址栏中的域。
当然,除非第三方域在响应中包含设置cookie的“P3P”标头。这个标题的存在似乎说服IE按预期行事。
在我们的身份验证页面的回复中包含P3P: CP="CAO PSA OUR"后,所有内容都按预期运行。