Frameset导致Cookies和Session丢失的原因及解决办法

1.Frameset导致Cookies和Session丢失的原因及解决办法 

使用框架(Frameset)调用不同域名下的页面,会出现此域下页面的Cookies和Session丢失的现象。
 
原因:基于IE6.0对W3C 关于cookie的P3P协议的支持,使用框架调用不同域下的页面,默认情况下IE会自动禁用此域下的Cookies,因此会出现Cookies和Session丢失的现象。
 
解决方法:在Frame调用的页面里加上Response header确认信息。
 

<% Response.AddHeader "P3P","CP=NOI DSP COR NID ADMa OPTa OUR NOR"  %>
 
参考文件:http://support.microsoft.com/default.aspx?scid=KB;EN-US;Q323752

2.使用frame注意session陷阱 
最初发现特定情况下使用frame会导致生成多个session是很久以前的事了,今天突然想起来觉得有必要做个总结,毕竟这种情况还是比较隐蔽的,那么什么时候使用frame会产生多个session呢,产生多个session后又会产生什么样的麻烦呢?隐蔽在哪里呢?
 
1.什么时候使用frame会产生多个session
 
不管是frameset还是iframe,只要frame所在文件是htm或html的时候,即静态网页时就会产生多个session,至于几个session和frame的个数是相等的。使用jsp就不会产生多个session。
 
2.产生多个session后又会产生什么样的麻烦呢?
 
带来的麻烦是不预期的,比如在其中一个frame中向session中存放了对象,但是在另一个frame中是拿不到这个对象的,因为不是一个session。
 
3.隐蔽在哪里呢?
 
虽然一次产生了多个session,但是无论那个frame页面进行刷新都只会使用最后一个session,所以对程序员来说很难发现。
 
最后,如何来证明上面的事实呢,我写了一段验证代码。
 
//  left.jsp

sessionId:<%=session.getId()%>

<%session.setAttribute("test","test");%>



//  right.jsp

sessionId:<%=session.getId()%>

attribute:<%=session.getAttribute("test")%>



//  frameset.htm和frameset.jsp相同

<html>

<head>

<title></title>

</head>

<frameset rows="*" cols="400,*" >

    <frame src="left.jsp" />

    <frame src="right.jsp"/>

</frameset>

</html>

//  ifameTest.htm和ifameTest.jsp相同

<html>

<head>

<title></title>

</head>

<body>

<iframe src="left.jsp" height="200" width="300"></iframe>

<iframe src="right.jsp" height="200" width="300"></iframe>

</body>

</html>
 
 
发布到tomcat上,分别访问下面4个文件即可,注意每次测试过一种情况后要重启浏览器。 ifameTest.htm ifameTest.jsp frameset.htm frameset.jsp
 
注意观察比较session id 就可以发现问题,非常直观。

----------------
3. iframe,Frame中关于Session丢失的解决方法 
转载:http://blog.csdn.net/aspgreener/archive/2007/09/05/1772920.aspx
 
在开发中,我们经常会遇到使用Frame来工作,而且有时是为了跟其他网站集成,应用到多域的情况下,而Iframe是不能保存Session的。因此,网上可以找到很多相关的文章,如果网站可以采用设置Web.Config中的配置:<sessionstate></sessionstate> mode="StateServer"
 stateConnectionString="tcpip=127.0.0.1:42424"
 sqlConnectionString="data source=127.0.0.1;Trusted_Connection=yes"
 cookieless="false" 
timeout="40" 
/>
 把cookieless="false"改成"true"就可以了。但也同样有个小问题,就是如果页面中采用Javascript的window.location.href=''这样的方式来重定向的话,系统会认为这是另一个新的请求,产生一个新的SessionId,导致原Session同样的丢失。所以对于重定向,还是使用Response.Redirect()为好。
 
除了Ifrmae有丢Session问题外,frameset也有同样的问题。Frameset的问题更不确定,是有时会丢,有时不会丢,这更认人头痛,在网上找到了一个方法,在页面page_onload里添加一语句:
 Response.AddHeader("P3P","CP=CAO PSA OUR");
 FrameSet中的Session丢失问题就解决了。至于里面具体的原因 也没时间去搞懂了。 
--------------------
4 IE中使用IFrame或Frameset导致session丢失的问题 


整合客户的登录时,或者其他一个网站通过iframe时,特别是一个http页面,访问一个https页面时,常常会

session失效!

1、由于IE的安全限制,将父页面所在域加入信任站点就OK了!

2、当“父”页面是https的,通过IFrame去访问https页面时,

<iframe name="loginFrame" id="loginFrame" frameborder=NO scrolling=NO src="" class="iframeBody" ></iframe>

   会报“有不安全的信息”

   解决: src="/" 就OK!

3、当客户设置了1时,还是不行时,怎么办呢?又查询了一些网上的资料!(
本文转载自:http://wwww.javaeye.com/blog/420145)

    IE6/IE7支持的P3P(Platform for Privacy Preferences Project (P3P) specification)协议默认阻止第三方无隐私安全声明的cookie,Firefox目前还不支持P3P安全特性,firefox中自然也不存在此问题了。

    在frameset里面,也就是里面的frame是来自第三方站点(不同IP或不同域名),那么默认情况下IE会自动禁用这些站点的cookie,也就是在请求某url时在HTTP header里不发送它们的cookie,包括session的cookie。注意,这些站点在response里面设置的cookie还是会被发送到浏览器的。

在用户浏览a.php时 a.com写入的为第一方Cookie,其嵌入的iframe 指向b.php.这时b.com写入的就为第三方Cookie了,所以它是被IE挡在了大门外。所以,每次当用户提交的cookie提交时,就挂掉了.因为传不到真实的服务器.

 

解决方案

   1、PHP程序

      可以直接在B网站中写入
      <?php

        header('P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"')
      ?>

      这样就能接受第三方的Cookie/Session啦。

   2、lighttpd的服务器

      server.modules    = ("mod_setenv")

      setenv.add-response-header = ( "P3P" => "CP='CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR'")

   3、apache的服务器

      <VirtualHost>

         Header set P3P 'CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"'

      </VirtualHost>

   4、IIS的服务器

      增加一个网站http头来解决问题;

      管理 工具——〉选择一个网站 ——〉属性——〉http头,增加一个http头

      然后输入头名:P3P

     输入头内容:CP=CAO PSA OUR

   5、jsp页面:

      <%

          response.setHeader("P3P","CP=CAO PSA OUR");

      %>

 

 


你可能感兴趣的:(JavaScript,框架,浏览器,IIS)