我们有一个网站(www.example.com)会将用户发送到一系列第三方网页以验证付款详细信息,我们会在iframe中执行此操作。最初,来自www.example.com的本地页面加载到iframe中,并且用户被重定向到第三方URL。用户完成第三方步骤后,会将其重定向回iframe内我们网站(www.example.com)上的页面。
这适用于我们测试的所有浏览器,除了IE 11,我们的cookie似乎丢失了。我们已经在桌面和“Metro”模式下在Windows 7和8.1下进行了检查,问题出现在所有版本中。
当用户浏览我们的网站时,我们设置了一个会话cookie,该cookie正确地发送到最初在iframe中加载的第一方网页。但是,一旦用户浏览了此iframe中的某些第三方网页,会话Cookie就不会与下一个请求一起发送。
如果我们将IE 11的隐私设置设置为最低值,则此问题将消失,并且按预期工作。
到目前为止,我出现的所有潜在解决方案都与P3P标头有关。我们设置了有效且正确的P3P标头和XML策略文件,此问题仅发生在IE 11中。
更新:我们还使用JS设置了一些其他Cookie。这些都像预期的那样持续存在。差异是到期日期(JS cookie为1年,会话cookie为1个月),域(JS cookie明确为“example.com”,会话cookie为空)以及它们是否为“仅HTTP”(JS为false) cookies,适用于会话cookie)。
我已经尝试根据会话cookie的JS cookie设置所有这些选项,但它没有任何区别。
更新2:经过更多测试后,我无法创建重新创建此问题的测试用例。我尝试在实时代码中测试的任何其他cookie似乎也会被破坏,即使它们设置的代码与JS cookie完全相同。简而言之;我还没有找到任何有用的cookie和有效的cookie。
一个可能有趣的事情是,cookie没有被删除,它们只是没有被发送到最终请求。如果加载了另一个页面,cookie会神奇地重新出现并被发送;这让我相信这是一个围绕iframe和P3P的错误。
更新3(第3天): IE 11对cookie的处理继续让我感到困惑。我进入微软的迷宫越远,我就越失去其变幻的墙壁。这里有幽灵。半梦的安全政策的片段,它们已经融入了一些空灵的生物,它在每一个动作中追踪和嘲弄我。起初,我被冻结,惊恐,惊恐地看着刚刚看不见的几乎不可思议的形状,但是每过一个小时,我就会从仅靠近处的知识中获得更多的安慰。这可能是我被派到这里面对的野兽吗?在这种时候我怎么能杀死我唯一的同伴?
答案 0 :(得分:8)
我们在Internet Explorer 11遇到类似问题,其中会话cookie在通过https重定向后丢失。
请求链看起来像这样:
初始请求/ - > 会话Cookie设置 - > 重定向到外部网址 - > 重定向回来(会话Cookie丢失)
我们的问题是由于RFC952的主机名无效,我们在测试服务器网址中有下划线。如果URL不符合RFC952,则Internet Explorer似乎默默地通过https重定向会话cookie。当使用破折号而不是下划线时,一切都按预期工作。
原始解决方案位于此asp.net blogpost from 2004.相关微软错误提单here.
的更新2 部分希望这会对某人有所帮助。
答案 1 :(得分:1)
我注意到当IE7兼容模式用于新页面时,会话cookie经常丢失。我想这同样适用于iframe。 iframe是否发送了与父页面不同的X-UA-Compatible标头值,或者与会话中较早的不同?就像你的会话以IE = edge开始,iframe页面将它设置为IE = 7。如果是这样,IE似乎经常为兼容模式页面和会话cookie启动一个新的IE PID(但它似乎没有被转移。
答案 2 :(得分:-1)
我遇到了与此主题相同的问题。
我们的网站位于iframe中并使用会话cookie(asp.net_session)。虽然站点中的导航没有问题(cookie正在工作并附加到请求标头)。但是当我们将客户重定向到另一个网站(othersite.com)时,othersite.com会将客户重定向到我们的域并强制它以#34; _top"开放,浏览器不会发送带有请求的cookie,以便我们失去了客户会话。此问题仅发生在IE上。
你有什么建议来解决这个问题。
答案 3 :(得分:-5)
检查IE11中的Internet选项。 工具>互联网选项>隐私>先进
也许你应该覆盖它并启用"始终允许会话cookie"。