security - IE 11第一方会话cookie在iframe中丢失




internet-explorer cookies (3)

我们在Internet Explorer 11遇到类似的问题,其中会话cookie在通过https重定向后丢失。

请求链看起来像这样:

初始请求/ - > 会话cookie集 - > 重定向到外部URL - > 重定向回 (会话cookie丢失)

我们的问题是由于根据RFC952主机名无效,我们在测试服务器URL中有下划线。 如果URL不符合RFC952,则Internet Explorer似乎会默默地通过https重定向会话cookie。 使用破折号而不是下划线时,一切都按预期工作。

最初的解决方案是在2004年的asp.net博客文章Update 2部分中找到的相关的microsoft bug ticket here.

希望这会对某人有所帮助。

我们有一个网站(www.example.com)将用户发送到一系列第三方网页,以验证我们在iframe中执行的付款详细信息。 最初,来自www.example.com的本地页面加载到iframe中,并且用户被重定向到第三方URL。 一旦用户完成第三方步骤,他们就会被重定向回iframe中我们网站(www.example.com)上的页面。

这适用于我们测试的所有浏览器,除了IE 11,我们的cookie似乎丢失了。 我们已经在桌面和“Metro”模式下在Windows 7和8.1下进行了检查,问题出在所有版本中。

当用户浏览我们的网站时,我们设置了一个会话cookie,该cookie正确地发送到最初在iframe中加载的第一方页面。 但是,一旦用户浏览了此iframe中的某些第三方网页,会话Cookie就不会与下一个请求一起发送。

如果我们将IE 11的隐私设置设置为最低值,则此问题将消失,并且按预期工作。

到目前为止我出现的所有潜在解决方案都与P3P标头有关。 我们有一个有效且正确的P3P头和XML策略文件设置,这个问题只发生在IE 11中。

更新:我们使用JS设置了一些其他cookie。 这些都像预期的那样持续存在。 差异是到期日期(JS cookie为1年,会话cookie为1个月),域(JS cookie明确为“example.com”,会话cookie为空)以及它们是否为“仅HTTP”(JS为false) cookies,适用于会话cookie)。

我已经尝试根据会话cookie的JS cookie设置所有这些选项,但它没有任何区别。

更新2:经过更多测试后,我无法创建重新创建此问题的测试用例。 我尝试在实时代码中测试的任何其他cookie似乎也会被破坏,即使它们设置的代码与JS cookie完全相同。 简而言之; 我还没有找到任何有用的cookie和有效的cookie。

一个可能有趣的事情是,cookie没有被删除,它们只是没有被发送到最终请求。 如果加载了另一个页面,cookie会神奇地重新出现并发送; 这让我相信这是一个围绕iframe和P3P的错误。

更新3(第3天): IE 11对cookie的处理继续让我感到困惑。 我越走进微软的迷宫,我就越失去其变幻的墙壁。 这里有幽灵。 半梦的安全政策的片段,它们已经融入了一些空灵的生物,它在每一个动作中追踪并嘲弄我。 起初我被冻结,惊恐,惊恐地看着刚刚看不到的几乎不可思议的形状,但是每过一个小时,我就会从仅靠近距离的知识中获得更多的安慰。 这可能是我被派到这里面对的野兽吗? 在这种时候我怎么能杀死我唯一的伴侣?


我有与此主题相同的问题。

我们的网站放在一个iframe中并使用session to cookie(asp.net_session)。 虽然在站点中导航没有问题(cookie正在工作并附加到请求标头)。 但是当我们将客户重定向到另一个网站(othersite.com)时,othersite.com会将客户重定向到我们的域并强制它以“_top”的形式打开,浏览器不会发送带有请求的cookie,这样我们就会丢失客户会话。 这个问题只出现在IE上。

你有什么建议来解决这个问题。


检查IE11中的Internet选项。 工具> Internet选项>隐私>高级

也许您应该覆盖它并启用“始终允许会话cookie”。







cross-domain