【问题标题】:does p3p allows parent frame to read my cookies?p3p 是否允许父框架读取我的 cookie?
【发布时间】:2011-07-24 16:40:31
【问题描述】:

我试图了解在我的 Facebook 应用程序中设置紧凑 p3p 标头的技术含义。有人对我说,在我的站点 (iframe) 中设置 p3p 标头将允许 Facebook(父级)读取我的 cookie。

我认为情况并非如此,根据我的理解,p3p 是(只是)我(作为网站所有者)和用户(互联网浏览器)之间的法律约束力。

如果有人可以向我指出解释这一点的权威信息(用人类可读的话),我将非常感激。我已经阅读了所有 w3c 文档,但找不到我要找的东西。

【问题讨论】:

    标签: facebook p3p


    【解决方案1】:

    P3P 允许您在 IE/Firefox 中设置第 3 方 cookie。

    这与允许父 iframe 访问子 iframe cookie 没有任何关系。

    【讨论】:

    • 这是我的理解,但我正在寻找权威信息,我可以向信息安全人员展示以证明确实如此。
    【解决方案2】:

    没有。使用 P3P 标头以便 child 框架可以访问 parent 框架的 cookie。我们使用的 P3P 头是:

    P3P: CP="CAO PSA OUR"
    

    我只注意到在 IE 和 Safari 浏览器中检查 P3P 策略 - 这不是普遍流行的标准(至少可以说)。处理起来很痛苦,但是一旦你知道它,你就会知道它。我不确定它们的法律约束力如何,但您可以使用上面的标题来确保您的应用程序按预期工作,然后修改实际内容以描述您请求的私人信息。我们使用this tool 来生成 P3P 策略。导出“简单”策略将为您提供标题所需的内容。

    这里是 a link to Facebook documentation regarding P3P,向下滚动到 iframes/P3P 标头中的 Cookies 部分。这里还有一个关于这个主题的forum post

    【讨论】:

      猜你喜欢
      • 2010-12-14
      • 2011-04-07
      • 1970-01-01
      • 2016-02-03
      • 1970-01-01
      • 2012-04-19
      • 2023-03-25
      • 2012-01-22
      • 1970-01-01
      相关资源
      最近更新 更多