看了
Fenng的一篇blog關于Cookie, iframe 與 P3P,自己不是很清楚,查詢了相關資料,把相關心得貼出來。
應用場景:
比如一個 www.a.com中有個服務應用是引用b.com域的,
通常情況下用戶的隱私策略設置為中或者更高.在b.com域的cookie是不能夠正常讀取的,但是服務端能夠改變用戶對b.com域的隱私策略使b.com域下的cookie正常存取.
也可以說是利用p3p解決第三方cookie存取的問題。
第一方Cookie:是來自當前正在查看的網站,或者發送到當前正在查看的網站。
第三方Cookie:是來自當前正在查看的網站以外的網站,或者發送到當前正在查看的網站以外的網站。第三方網站通常提供正在查看的網站上的內容。例如,許多站點使用來自第三方網站的廣告,或者iframe的別的網站的url,這些第三方的網站可能使用的Cookie。
p3p相關東東
P3P是萬維網聯盟(W3C)公布的一項隱私保護推薦標準,旨在為網上沖浪的Internet用戶提供隱私保護。現在有越來越多的網站在消費者訪問時,都
會收集一些用戶信息。制定P3P標準的出發點就是為了減輕消費者因網站收集個人信息所引發的對于隱私權可能受到侵犯的憂慮。P3P標準的構想是:Web
站點的隱私策略應該告之訪問者該站點所收集的信息類型、信息將提供給哪些人、信息將被保留多少時間及其使用信息的方式,如站點應做諸如
“本網站將監測您所訪問的頁面以提高站點的使用率”或“本網站將盡可能為您提供更合適的廣告”等申明。訪問支持P3P網站的用戶有權查看站點隱私報告,然后決定是否接受cookie或是否使用該網站。
通過指定用戶隱私策略,就可以達到存取第三方cookie的目的,看到這也許會覺得跟web應用毫無關系,真正的問題是如何讓服務器來指定用戶瀏覽器的隱私策略?
其實很簡單,只要在響應用戶請求的時候在http的頭信息中增加關于p3p的配置信息就可以了。
response.setHeader("P3P","CP='IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT'");
不對之處,請大家指正!
參考:
http://viralpatel.net/blogs/2008/12/how-to-set-third-party-cookies-with-iframe.html
http://www.dbanotes.net/web/cookie_p3p.html
http://ding--lin.javaeye.com/blog/94336
http://www.cnblogs.com/gudai/archive/2008/09/21/1295432.html
http://cailin.javaeye.com/blog/175422