P3P
最近应用在做平台框架化改版,其中碰到一个问题,就是要跨域调用一个页面,这个页面是一个登陆页面,它本身会往COOKIE中写一些东西,该页面不被IFRAME包装的时候,是没有问题的,而被IFRAME包装的时候,登陆就报参数出错,咨询了负责这个页面的负责人,原来是因为跨域的情况下写入COOKIE错误,要想实现这样的效果,必须通过P3P(Platform for Privacy Preferences Project)才能够实现。
这是第一次听说P3P这个词,网上了解到的信息是:P3P提高了用户对个人隐私性信息的控制权,用户在P3P提供的个人隐私保护策略下,能够清晰地明白网站对自己隐私信息做何种处理,并且P3P向用户提供了个人隐私信息在保护性上的可操作性,保护客户的隐私,是通过客户端软件(如浏览器)的设置受访网站的信息收集行为,是否同用户的P3P中设定的标准相符,相符则两者之间关于个人隐私信息的协定就可以自动地缔结,而用户亦可毫无阻碍地浏览该站点;但是如果不符,P3P将会用红绿灯的简单方式提醒用户,用户必须迅速地决定是否对自己制定的个人隐私策略作出修改以进入该网站,这通常会以对话框的形式出现,目的是方便用户做出选择。
P3P常用的就是跨站COOKIE同源,如康盛的discuz,uchome,ucenter的跨站同步登陆登出,都是依靠P3P实现的,如果没有P3P的方式实现,其它方式实现起来就要难点,也有人担心说使用P3P下放COOKIE的权限太多了,容易造成CSRF安全攻击,这个就看使用的场景和成本了,它终究起来也只是一种技术上的实现。
参考网站:
Cookie, iframe 与 P3P 的那点事儿:http://www.dbanotes.net/web/cookie_p3p.html
P3P:http://en.wikipedia.org/wiki/P3P
百度百科P3P解释:http://baike.baidu.com/view/722330.htm
本文出自:冯立彬的博客