IE中iframe跨域访问

1      什么叫跨域?

       指在A系统(第一方)中通过URL直接调用B系统(第三方),并且两个系统分别部署在不同的域内,简单的理解就是访问这两个系统需要不同的IP。后面说明也已A系统、B系统为例。

2      跨域会引发什么问题?

       在IE中,A系统中的iframe或者frame跨域访问了B系统一个资源时,IE浏览器默认设置是禁用第三方Cookie的,这就导致向B系统发送请求时丢失了JSESSIONID,从而B系统服务器中就无法得到session对象,就会引发一系列问题。关于Cookie和session的关系,可以看前一篇文章Session深度解析,这里不再赘述。

       IE中如此处理可能也是出于安全考虑,经测试,在Chrome、FireFox中默认是允许第三方Cookie的,也就不会存在跨域引发的问题。这种跨域的情况通常出现在多个系统间互相嵌入某些功能。

3      如何解决?

       解决方案可以分两个方面,一种是客户端(需要访问A系统的浏览器)处理,另一种是服务端(B系统)处理。

3.1  浏览器

3.1.1  放弃IE

       那是不可能的。

3.1.2  允许第三方Cookie

       工具 - Internet选项 - 隐私 - 高级 - 勾选替代自动cookie处理 - 确定。

3.1.3  设置可信站点

       访问A系统前,将B系统的IP添加到可信站点中,这样设置能比接受第三方Cookie安全些。

       工具 - Internet选项 - 安全 - 受信任的站点 - 站点 - 添加 - 确定。

3.2  服务器

3.2.1  可以被集成的模块不需要Session

       局限性太大。

3.2.2  P3P协议

       在B系统中允许被跨域访问的功能模块中加入P3P响应头,response.setHeader("P3P","CP=CAOPSA OUR");,记住是B系统中加,不是A系统。

       关于P3P的介绍可以看这篇文章http://www.cnblogs.com/_franky/archive/2011/03/16/1985954.html

       (完)

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏云鼎实验室的专栏

WannaCry 勒索病毒数据恢复指引

受 WannaCry 勒索病毒影响,许多遭受攻击的电脑中的大部分文件被加密而被勒索要求支付比特币以进行解密文件。我们在13号媒体采访时提到,可使用数据恢复软件通...

5.4K10
来自专栏云资讯小编的专栏

腾讯云鼎实验室Killer:面对“想哭”勒索软件,你不知道的几件事儿

比特币勒索软件究竟为什么会在全球大规模爆发?给我们敲响了什么警钟?国内信息安全专业媒体《嘶吼》对腾讯云鼎实验室负责人Killer(董志强)进行了专访,一起来听听...

87900
来自专栏黄希彤的专栏

遇到 DDoS 怎么办?老司机给你支个招

我由于协助一些公益网站做优化的关系,跟一些小黑客也有过几次小对抗,我来讲讲作为安全门外汉对这个问题的粗浅认识。

4.3K30
来自专栏腾讯大数据的专栏

一行代码,一个系统!您的 Crash 实时分析已上线

腾讯移动分析(MTA),将内部打磨多年的 Crash分析能力对外输出,在复杂的App生态下,专注于构建完善的质量体系,助力 App 研发者用一行代码拥有完整 C...

49810
来自专栏应兆康的专栏

关于病毒Wanna Cry的预防和解决方案(开发者投稿)

Wanna Cry 蠕虫病毒肆虐,你有没有被勒索?本文作者与你分享了几招临时性的应对方案,不妨试一试。

8.3K50
来自专栏云资讯小编的专栏

腾讯安全反病毒实验室解读“Wannacry”勒索软件

MS17-010 漏洞指的是,攻击者利用该漏洞,向用户机器的 445 端口发送精心设计的网络数据包文,实现远程代码执行。如果用户电脑开启防火墙,也会阻止电脑接收...

60200
来自专栏腾讯方舟的专栏

美国NSA泄漏又起风浪?无敌黑客组织被入侵背后的故事

如果要写一部黑客入侵史,发生在去年8月份的“方程式”组织被入侵事件一定会被载入史册。而就在前几天,这起泄漏事件又有了余波……故事,且让我们从头讲起。

75600
来自专栏域名资讯

蜀九香官网恐遭冒充 不注重保护域名

“九儿家大业大,居然连官网都有人冒充了好气好气好气...蜀九香官方网站域名为www .shujiuxiang.com哦!!!”

7210
来自专栏社区的朋友们

咱妈说别乱点链接之浅谈CSRF攻击

平时经常听到人们说别乱点链接,小心有病毒。还有长辈们转发的“天呐~XXX的阴谋,全是病毒”、“XXX惊天大病毒,点了苹果手机就要爆炸!”、“现在转发热门连接会乱...

3K40
来自专栏云资讯小编的专栏

我们需要更多“网络游侠”

目前网络安全人才不足,既有供不应求的原因,也和人才培养模式相关。“白帽子”黑客们的工作究竟有哪些神秘之处?如何让他们更好地发挥专长,守护网络使用安全?小编带您走...

21700

扫码关注云+社区

领取腾讯云代金券

年度创作总结 领取年终奖励