注意 IE iframe 中 Session 值的设置

问题描述

最近出于兴趣, 开发人人网的一款小应用, 应用页面通过 iframe 嵌在人人网页面中, 打开应用后需要用户授权, 人人网将返回的授权数据通过GET方法请求我的后台代码, 后台代码分析其中比较重要的几个参数存储在Session中, 可是在IE中怎么试都跟没设置Session似的, 而用Chrome则完全正常. 我用Fiddler调试了很久, 跟哥哥也讨论了几个方法,
但一开始我一直以为是URL中含有'-'符号所致, 使用各种Encode, 还尝试着将Response.Redirect 改为Server.Transfer, 但都无效, 这个问题困扰我好几天.
通过网上大量的搜索发现原来IE的iframe有特殊之处, 默认情况下, IE如果发现iframe的域和父页面的域不同, 则会禁止iframe页面写入Cookie(Session在默认情况下就是通过Cookie保存一个SessionID的). 如果将IE设置->隐私的级别调至最低, 也就是接受任何Cookie, 那么是运行正常的.

解决办法

在IIS的 HTTP Response Headers 中添加一行, 名字为: p3p, 值设置为: CP="IDC DSP COR CURa ADMa OUR IND PHY ONL COM STA"

参考

1. http://stackoverflow.com/questions/6368750/session-variables-not-saved-when-page-is-in-an-iframe
2. http://aspnetresources.com/blog/frames_webforms_and_rejected_cookies
3. http://support.microsoft.com/kb/283185/zh-cn

作者：Create Chen

出处：http://technology.cnblogs.com

说明：文章为作者平时里的思考和练习，可能有不当之处，请博客园的园友们多提宝贵意见。



本作品采用知识共享署名-非商业性使用-相同方式共享
2.5 中国大陆许可协议进行许可。

原文地址：http://www.cnblogs.com/technology/archive/2012/02/28/2372331.html