最近做系统,需要通过iframe嵌入第三方页面。比如我的页面为A网站的页面,嵌入在iframe中的为B网站的页面,此时如果B域名下的页面要在IE中写cookie,是不能成功的,原因在于使用iframe时,IE中的一个所谓的隐私首选项(简称为P3P)的W3C标准。只有在第三方页面上设置一个cookie发送头,才能允许Internet Explorer接受第三方Cookie。
解决的办法有三种:
1、把B域名设置为可信站点。
2、IE设置隐私策略:在Internet选项->隐私->高级,将“替代自动cookie处理”的选项打上,并“第一方cookie”和“第三方cookie” 都设置为 接受;如下图:
可以看到,前两种都是需要用户进行设置的,而通常,我们不能期望用户为我们做任何事情。所以,第三种解决方案,:
3、在response的head上增加p3p协议;
如Java代码为:
HttpServletResponse res = (HttpServletResponse) response;
res.setHeader("P3P","CP=CAO PSA OUR");
需要注意的是,加入P3P协议的页面为嵌入在iframe中的页面,也就是B域名的页面。
关于p3p简洁策略及各浏览器支持情况:http://www.cnblogs.com/_franky/archive/2011/03/16/1985954.html