Есть ли способ заставить мой сайт запрашивать сторонние файлы cookie в качестве основных файлов cookie? - PullRequest
Новая
       38

Есть ли способ заставить мой сайт запрашивать сторонние файлы cookie в качестве основных файлов cookie?

0 голосов
/ 31 декабря 2018

Мой сайт Angular 6 использует iframe для отображения ресурсов другого сайта.Источником iframe является URL-адрес нужного мне ресурса, и src динамически изменяется, если пользователь нажимает другую кнопку.При первом обращении к стороннему сайту с помощью iframe происходит базовый процесс проверки подлинности 

I ask for a resource
I am redirected to their authorization URL
They ask for authorization
I provide them my token
They give me a token as proof of authenticating and redirect back to resource

Этот метод отлично работает в Chrome, и я могу прекрасно просматривать ресурсы сторонней страницы.Однако в IE он не работает, пока я не уменьшу настройки безопасности по умолчанию.Я думаю, что из-за настроек по умолчанию блокируются сторонние файлы cookie, поэтому сторонний сайт никогда не сможет отправить мне доказательство того, что я являюсь действительным пользователем их ресурсов, и поэтому они никогда не отображаются.

Есть ли способдля моего домена как-то требовать файлы cookie от своего домена в качестве собственных файлов cookie?Таким образом, я могу обойти настройки IE по умолчанию, закрывая меня.

bump

1 Ответ

0 голосов
/ 02 января 2019

Таким образом, оказывается, что Windows 7 с IE 11 все еще требует что-то под названием P3P, чтобы сторонние куки не блокировались.

В основном, как сторонние куки использовались, когда издателю куки нужно было создавать политику конфиденциальности и размещать ее где-нибудь, например, «example.com/policy.html».Эта политика является отказом от ответственности, сообщая пользователям, как их данные используются.Эмитент должен был отправить заголовок с этой ссылкой в ​​качестве значения, чтобы браузеры могли принимать свои куки.Браузер «доверял» куки-файлу, потому что у него была политика, которую пользователь может посмотреть, чтобы увидеть, как используются его данные.Из некоторых других вопросов о переполнении стека я обнаружил, что этот P3P-бизнес чрезвычайно устарел, и не многие организации сильно его волнуют.Нам также даже не нужно беспокоиться о политике по URL, которая уже существует.

Мне пришлось попросить внешний сайт добавить следующий заголовок ко всем ответам, содержащим cookie:

P3P: CP = "Test"

Где "Test" может быть буквально чем-то еще, и это сработало!

Ресурсы:

Cookie заблокирован / не сохраненв IFRAME в Internet Explorer

https://security.stackexchange.com/questions/153084/is-it-ok-to-turn-off-p3p-in-ie11-on-windows-7

...