Какой самый широкий P3P-заголовок будет работать с IE?

Question

«Средняя безопасность» в IE8 гласит, что third-party cookies that save information that can be used to contact you without your explicit consent заблокированы.

Какой самый широкий заголовок P3P означает, что мы не собираем такую ​​информацию и не будем блокироваться IE?

Я хочу пропустить неприятные детали политики P3P и просто установить заголовок, который подразумевает наименьшие юридические обязательства. Его семантика должна быть:

we collect everything except information that can be used to contact you.

... без указания чего-либо еще.

Обратите внимание, что большинство заголовков P3P являются инклюзивными - если они отсутствуют, вам не разрешено использовать информацию для этой цели - поэтому заголовок P3P, который я ищу, должен содержать много флагов.

Answer 1

«Я хочу пропустить неприятные детали политики P3P»

Можно установить HTTP-заголовок P3P без допустимых компактных атрибутов политики конфиденциальности.

Facebook делает это.Вот HTTP-заголовок P3P от facebook.com:

P3P: CP="Facebook does not have a P3P policy. Learn why here: http://​fb.me/p3p"

Google тоже делает это:

p3p: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."

Это принято Internet Explorer.Например, «высокая» конфиденциальность IE блокирует все файлы cookie с веб-сайтов, на которых нет компактной политики конфиденциальности, но файлы cookie, сопровождаемые политиками P3P, как указано выше, не блокируются.

Если вы внедрите такой протокол P3Pне политика, обязательно включите естественный язык, который объясняет, что это не настоящая политика P3P, избегайте использования слов, которые являются действительными токенами P3P, а также ссылайтесь на URL более длинного объяснения или на реальный ваш сайтПолитика конфиденциальности.

---

ОБНОВЛЕНИЕ: В 2012 году Microsoft обвинила Google в игнорировании настроек конфиденциальности пользователя из-за этой практики, и они добавили параметр "строгой проверки P3P" вIE 10 и 11 .При включении он отклоняет файлы cookie, сопровождаемые политиками P3P, которые содержат неопределенные токены.Я полагаю, что настройка была отключена по умолчанию.

Microsoft наконец отказалась от P3P с Windows 10. Так что для Edge (и IE 11 на Windows 10) политика P3P не имеет никакого отношенияпри принятии cookie.

Вы можете проверить заголовок запроса User-Agent, чтобы установить заголовок P3P только в уязвимых версиях IE.

Answer 2

По моим тестам, любой из этих атрибутов P3P не позволит IE8 сохранить сторонний cookie:

CON, TEL, PHY, ONL, FIN, GOV

CON

Информация может использоваться для связи с физическим лицом по каналу связи, отличному от голосового телефона, для продвижения продукта или услуги.Это включает в себя уведомление посетителей об обновлениях на веб-сайте.

TEL

Информация может использоваться для связи с человеком посредством голосового телефонного звонка для продвижения продукта или услуги..

PHY

Информация, позволяющая связаться с физическим лицом или находящаяся в физическом мире, например номер телефона или адрес.

ONL

Информация, позволяющая связаться с отдельным лицом или расположенная в Интернете, например электронная почта.Часто эта информация не зависит от конкретного компьютера, используемого для доступа к сети.(См. Категорию COM)

FIN

Информация о финансах лица, включая состояние счета и информацию о деятельности, такую ​​как баланс счета, история платежей или овердрафта, а также информация опокупка или использование человеком финансовых инструментов, включая данные кредитной или дебетовой карты.

Так что не включайте их, если хотите, чтобы IE8 не блокировал вас.Я обнаружил, что следующие флаги являются наиболее широкими и легальными, но при этом все еще хорошо работают с IE:

NON DSP LAW CUR ADM DEV TAI PSA PSD ЕГО НАШ DEL IND UNI PUR COM NAV INT DEM CNTSTA POL HEA PRE LOC IVD SAM ИВА ОТК

Answer 3

Официальный список на MSDN .Искать на этой странице Unsatisfactory Cookie Tags.