哪些因素会影响 IE 判断是否发送跨域 cookie？

Question

致力于对第 3 方使用的接口进行故障排除。快速概览：

• 第三方将用户发送到我们的网站example.com/login，让用户向我们进行身份验证
• 登录后，我们将用户重定向回thirdparty.com
• thirdparty.com 使用我们网站上的一个动态 JS 文件，用于返回有关登录用户 example.com/dynamicJs.js 的信息
  • 由于此请求是针对 example.com 发出的，它应该包括在登录期间丢弃的 cookie（它们是服务于其目的所必需的）
  • 对于 IE，它们不再包含在请求中

正在研究中：

• cookie 本身似乎没有改变，手动将 IE 导航到dynamicJS.js 的 URL 会导致传输必要的 cookie。
• example.com 已制定 P3P 策略，并且未使用 IE 生成任何可见的警告/错误
• 其他浏览器包含 cookie

那么，还有哪些其他变量可能会影响 IE 并导致它在加载 example.com/dynamicJS.js 时忽略 example.com cookie？

Answer 1

经过大量研究，我们确定问题的根源在于 IIS 的自定义 HTTP 响应标头。

之前我们已将站点配置为返回 P3P 标头，但在诊断此问题时，我们发现标头现在以某种方式返回为 3P。将密钥返回到 P3P 解决了问题。

在研究此更改的实际原因时，我们发现错误标头起源于 <httpProtocol><customHeaders> 元素内的 web.config - 但是它似乎已在一段时间前放置在那里并且一直处于休眠状态，直到 AppPool停止/重新启动以进行维护。