什么是最广泛的P3P头将与IE一起使用?

时间:2011-11-08 09:30:26

标签: p3p

IE8中的“中等安全性”表示third-party cookies that save information that can be used to contact you without your explicit consent被阻止。

最广泛的P3P标题是什么意味着我们不收集此类信息,并且不会被IE阻止?

我想跳过P3P政策的讨厌细节,并设置标题意味着最少的法律义务。它的语义应该是:

we collect everything except information that can be used to contact you.

...没有指明任何其他内容。

请注意,大多数P3P标头都包含在内 - 如果它们不存在,则不允许您为此目的使用该信息 - 因此我正在寻找的P3P标头应该包含很多标志。

3 个答案:

答案 0 :(得分:30)

  

“我想跳过P3P政策令人讨厌的细节”

可以在没有有效的紧凑隐私策略属性的情况下设置P3P HTTP标头。

Facebook这样做。以下是来自facebook.com的P3P HTTP标头:

P3P: CP="Facebook does not have a P3P policy. Learn why here: http://​fb.me/p3p"

Google也是这样做的:

p3p: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."

Internet Explorer已接受此操作。例如,IE的“高级”隐私设置会阻止来自没有紧凑隐私政策的网站的所有Cookie,但不会阻止伴随上述P3P非政策的Cookie。

如果您实施此类P3P非政策,请确保包含解释其真实P3P政策的自然语言,避免使用有效P3P令牌的字词,并链接到更长解释的网址或您网站的真实隐私权政策。


更新:2012年,微软accused Google of bypassing user privacy settings因为这种做法,他们added a "strict P3P validation" setting to IE 10 and 11。启用后,它会拒绝包含未定义令牌的P3P策略的cookie。我相信默认情况下该设置已被禁用。

从Windows 10开始,

Microsoft finally gave up on P3P对于Edge(以及Windows 10上的IE 11),P3P策略与cookie接受无关。

您可以检查User-Agent请求标头,以便仅在受影响的IE版本上设置P3P标头。

答案 1 :(得分:8)

从我的测试中,任何这些P3P属性都会阻止IE8保存第三方cookie:

  

CON,TEL,PHY,ONL,FIN,GOV

<强> CON

可以使用信息通过语音电话以外的通信渠道联系个人,以促销产品或服务。这包括通知访问者有关网站的更新。

<强> TEL

信息可用于通过语音电话联系个人以宣传产品或服务。

<强> PHY

允许个人联系或位于物理世界中的信息 - 例如电话号码或地址。

<强> ONL

允许个人联系或位于互联网上的信息 - 例如电子邮件。通常,此信息独立于用于访问网络的特定计算机。 (参见类别COM)

<强> FIN

有关个人财务的信息,包括帐户状态和帐户余额,付款或透支历史记录等活动信息,以及个人购买或使用金融工具(包括信用卡或借记卡信息)的信息。

如果您希望IE8不阻止您,请不要包含它们。我发现以下标志是最广泛的,法律上最明智的,同时仍然与IE运行良好:

  

NON DSP LAW CUR ADM DEV TAI PSA PSD我们的DEL IND UNI PUR COM NAV   INT DEM CNT STA POL HEA PRE LOC IVD SAM IVA OTC

答案 2 :(得分:5)

权威列表位于MSDN。在该页面中搜索Unsatisfactory Cookie Tags