【转】Frameset导致Cookies和Session丢失的原因及解决办法

摘自：http://xiao1227372602.iteye.com/blog/1688251

1. 1.Frameset导致Cookies和Session丢失的原因及解决办法   
2.   
3. 使用框架(Frameset)调用不同域名下的页面，会出现此域下页面的Cookies和Session丢失的现象。  
4.    
5. 原因：基于IE6.0对W3C 关于cookie的P3P协议的支持，使用框架调用不同域下的页面，默认情况下IE会自动禁用此域下的Cookies，因此会出现Cookies和Session丢失的现象。  
6.    
7. 解决方法：在Frame调用的页面里加上Response header确认信息。  
8.    
9.   
10. <% Response.AddHeader "P3P","CP=NOI DSP COR NID ADMa OPTa OUR NOR"  %>  
11.    
12. 参考文件：http://support.microsoft.com/default.aspx?scid=KB;EN-US;Q323752  
13.   
14. 2.使用frame注意session陷阱   
15. 最初发现特定情况下使用frame会导致生成多个session是很久以前的事了，今天突然想起来觉得有必要做个总结，毕竟这种情况还是比较隐蔽的，那么什么时候使用frame会产生多个session呢，产生多个session后又会产生什么样的麻烦呢？隐蔽在哪里呢？  
16.    
17. 1.什么时候使用frame会产生多个session  
18.    
19. 不管是frameset还是iframe，只要frame所在文件是htm或html的时候，即静态网页时就会产生多个session，至于几个session和frame的个数是相等的。使用jsp就不会产生多个session。  
20.    
21. 2.产生多个session后又会产生什么样的麻烦呢？  
22.    
23. 带来的麻烦是不预期的，比如在其中一个frame中向session中存放了对象，但是在另一个frame中是拿不到这个对象的，因为不是一个session。  
24.    
25. 3.隐蔽在哪里呢？  
26.    
27. 虽然一次产生了多个session，但是无论那个frame页面进行刷新都只会使用最后一个session，所以对程序员来说很难发现。  
28.    
29. 最后，如何来证明上面的事实呢，我写了一段验证代码。  
30.    
31. //  left.jsp  
32.   
33. sessionId:<%=session.getId()%>  
34.   
35. <%session.setAttribute("test","test");%>  
36.   
37.   
38.   
39. //  right.jsp  
40.   
41. sessionId:<%=session.getId()%>  
42.   
43. attribute:<%=session.getAttribute("test")%>  
44.   
45.   
46.   
47. //  frameset.htm和frameset.jsp相同  
48.   
49. <html>  
50.   
51. <head>  
52.   
53. <title></title>  
54.   
55. </head>  
56.   
57. <frameset rows="*" cols="400,*" >  
58.   
59.     <frame src="left.jsp" />  
60.   
61.     <frame src="right.jsp"/>  
62.   
63. </frameset>  
64.   
65. </html>  
66.   
67. //  ifameTest.htm和ifameTest.jsp相同  
68.   
69. <html>  
70.   
71. <head>  
72.   
73. <title></title>  
74.   
75. </head>  
76.   
77. <body>  
78.   
79. <iframe src="left.jsp" height="200" width="300"></iframe>  
80.   
81. <iframe src="right.jsp" height="200" width="300"></iframe>  
82.   
83. </body>  
84.   
85. </html>  
86.    
87.    
88. 发布到tomcat上，分别访问下面4个文件即可，注意每次测试过一种情况后要重启浏览器。 ifameTest.htm ifameTest.jsp frameset.htm frameset.jsp  
89.    
90. 注意观察比较session id 就可以发现问题，非常直观。  
91.   
92. ----------------  
93. 3. iframe，Frame中关于Session丢失的解决方法   
94. 转载：http://blog.csdn.net/aspgreener/archive/2007/09/05/1772920.aspx  
95.    
96. 在开发中，我们经常会遇到使用Frame来工作，而且有时是为了跟其他网站集成，应用到多域的情况下，而Iframe是不能保存Session的。因此，网上可以找到很多相关的文章，如果网站可以采用设置Web.Config中的配置：<sessionstate></sessionstate> mode="StateServer"  
97.  stateConnectionString="tcpip=127.0.0.1:42424"  
98.  sqlConnectionString="data source=127.0.0.1;Trusted_Connection=yes"  
99.  cookieless="false"   
100. timeout="40"   
101. />  
102.  把cookieless="false"改成"true"就可以了。但也同样有个小问题，就是如果页面中采用Javascript的window.location.href=''这样的方式来重定向的话，系统会认为这是另一个新的请求，产生一个新的SessionId，导致原Session同样的丢失。所以对于重定向，还是使用Response.Redirect()为好。  
103.    
104. 除了Ifrmae有丢Session问题外，frameset也有同样的问题。Frameset的问题更不确定，是有时会丢，有时不会丢，这更认人头痛，在网上找到了一个方法，在页面page_onload里添加一语句：  
105.  Response.AddHeader("P3P","CP=CAO PSA OUR");  
106.  FrameSet中的Session丢失问题就解决了。至于里面具体的原因 也没时间去搞懂了。   
107. --------------------  
108. 4 IE中使用IFrame或Frameset导致session丢失的问题   
109.   
110.   
111. 整合客户的登录时，或者其他一个网站通过iframe时,特别是一个http页面，访问一个https页面时，常常会  
112.   
113. session失效！  
114.   
115. 1、由于IE的安全限制，将父页面所在域加入信任站点就OK了！  
116.   
117. 2、当“父”页面是https的，通过IFrame去访问https页面时，  
118.   
119. <iframe name="loginFrame" id="loginFrame" frameborder=NO scrolling=NO src="" class="iframeBody" ></iframe>  
120.   
121.    会报“有不安全的信息”  
122.   
123.    解决： src="/" 就OK！  
124.   
125. 3、当客户设置了1时，还是不行时，怎么办呢？又查询了一些网上的资料！(  
126. 本文转载自：http://wwww.javaeye.com/blog/420145)  
127.   
128.     IE6/IE7支持的P3P(Platform for Privacy Preferences Project (P3P) specification)协议默认阻止第三方无隐私安全声明的cookie，Firefox目前还不支持P3P安全特性，firefox中自然也不存在此问题了。  
129.   
130.     在frameset里面，也就是里面的frame是来自第三方站点(不同IP或不同域名)，那么默认情况下IE会自动禁用这些站点的cookie，也就是在请求某url时在HTTP header里不发送它们的cookie，包括session的cookie。注意，这些站点在response里面设置的cookie还是会被发送到浏览器的。  
131.   
132. 在用户浏览a.php时 a.com写入的为第一方Cookie,其嵌入的iframe 指向b.php.这时b.com写入的就为第三方Cookie了，所以它是被IE挡在了大门外。所以,每次当用户提交的cookie提交时,就挂掉了.因为传不到真实的服务器.  
133.   
134.    
135.   
136. 解决方案  
137.   
138.    1、PHP程序  
139.   
140.       可以直接在B网站中写入  
141.       <?php  
142.   
143.         header('P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"')  
144.       ?>  
145.   
146.       这样就能接受第三方的Cookie/Session啦。  
147.   
148.    2、lighttpd的服务器  
149.   
150.       server.modules    = ("mod_setenv")  
151.   
152.       setenv.add-response-header = ( "P3P" => "CP='CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR'")  
153.   
154.    3、apache的服务器  
155.   
156.       <VirtualHost>  
157.   
158.          Header set P3P 'CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"'  
159.   
160.       </VirtualHost>  
161.   
162.    4、IIS的服务器  
163.   
164.       增加一个网站http头来解决问题；  
165.   
166.       管理 工具——〉选择一个网站 ——〉属性——〉http头，增加一个http头  
167.   
168.       然后输入头名：P3P  
169.   
170.      输入头内容：CP=CAO PSA OUR  
171.   
172.    5、jsp页面：  
173.   
174.       <%  
175.   
176.           response.setHeader("P3P","CP=CAO PSA OUR");  
177.   
178.       %>  
179.   
180.    
181.   
182.