IE下PHP iframe跨域导致session丢失问题的解决方法-php手册-php.cn

Home

php教程

php手册

IE下PHP iframe跨域导致session丢失问题的解决方法

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 13, 2016 am 09:41 AM

iframeGetting started with phpsessionlead to

一个登录页面，被别的网站用iframe嵌进去后，死活无法登录（只在IE中存在这种情况）。主要是session无法被保存的问题，下面把个人的解决过程分享个大家今天搞的一个登录页面，被别的网站用iframe嵌进去后，死活无法登录（只在IE中存在这种情况）。

很明显，session无法被保存。但是直接在地址栏打开那个登录页面，一切都正常啊。真是奇怪啊。

在网上搜索了一下。发现这个问题还真有不少人提及到。最后的解决方法是在那个登录页面里加上以下代码：
代码如下:

header(&#39;P3P: CP="ALL ADM DEV PSAi COM OUR OTRo STP IND ONL"&#39;); 
session_start();

可能这个问题跟我的登录页面是采用javascript的location跳转也有关。但没有深入测试研究。

拓展阅读:
今天在处理腾讯朋友应用的时候,测试给我发来个工单,说应用在IE7 上无法使用.出现登陆超时错误.

第一反应是session丢失了.

于是上网找了下 IE7 iframe session丢失问题.后来找到如下文章,问题解决:

昨天，我在校内上做的时间日记终于上线了。上线第一天有80多个用户安装，但却以外收到不少用户的反馈说应用不可用。我之前都是在firefox上开发的（估计校内工作人员也是用firefox审核的），在使用IE7测试时，却发现首页之外的页面全都无法正常打开。

在网上查找了许多资料，发现在IE7中存在这样的问题：如果页面中存在着一个或多个iframe的子页面，那么在子页面中创建session可能无法成功，这样session数据就无法和其他页面所共享。在开发校内、51应用时，假设采用iframe方式，很可能会遇到这样的问题。而且这个问题只存在于IE7浏览器中，我在firefox, IE6和chrome等浏览器中测试均没有问题。

解决方案是：在运行session_start之前，在程序中加上如下一句（以php语言为例），大致是向浏览器声明一下安全级别，这样iframe子页面在创建session时就不会有问题了：

header('P3P: CP=”ALL ADM DEV PSAi COM OUR OTRo STP IND ONL”‘);

另外，我还了解到：如果二级域名中包含了下划线，如：your_domain.yourhost.com，在建立和传递session时也可能会出现问题。

一点感想：

1）时隔多年，浏览器兼容性问题仍然没有得到彻底解决，IE浏览器仍然是那么让开发者感到痛苦和折磨。
2）发布应用前，一定要经过严密的浏览器兼容性测试，否则就有可能损失应用的第一批用户。

其他参考文章:

解决iframe中jsessionid无法传递导致session丢失的问题
http://618119.com/archives/2007/12/19/48.html

在实现 ISMP2.1.1 接口的适合需要用到sso，而ISMP里定义的接口是需要在iframe等嵌入页面中调用sso接口，在实际开发中发现session无法正常传递。

重现问题的场景是：

1.先访问a站点:http://192.168.18.2/test.jsp

test.jsp的代码为：

session--www.jbxue.com

sso .jsp里读取传递的ssoinfo,反向调用ISMP认证接口，

生成session，然后放入指定的属性值， session .setAttribute(“ssoUser”,”lizongbo”); 页面再重定向到 http://192.168.18.3/iframe.jsp

response.sendRedirect(“/iframe.jsp”);

iframe.jsp中读取session中ssoUser的属性值，会发现无法读取。
2.如果先访问了 192.168.18.3的页面，再访问192.168.18.2的页面，此时的iframe嵌入是可以传递已生成好的jsessionid Cookie.

因此解决的办法有：

a.在url中加上jsessionid.

例如重定向到 response.sendRedirect(“/iframe.jsp;jsessionid =lizongbo”);
而这种情况下，如果iframe.jsp页面内的其它连接的url没有加上jsessionid,

也无法继续传递session，不过通过在客户端的js来为每个超连接的href属性重写加上jsessionid.

b.sso.jsp里设置P3P头信息
例如 P3P: CP=”CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR”
或 P3P:CP=”CAO PSA OUR”
java代码为：
response.addHeader(“P3P”,”/”CAO PSA OUR/”");

Statement

The content of this article is voluntarily contributed by netizens, and the copyright belongs to the original author. This site does not assume corresponding legal responsibility. If you find any content suspected of plagiarism or infringement, please contact admin@php.cn

iframe为什么加载慢Aug 24, 2023 pm 05:51 PM

iframe加载慢的原因主要包括网络延迟、资源加载时间长、加载顺序、缓存机制以及安全策略等。详细介绍：1、网络延迟，当浏览器加载一个包含iframe的网页时，需要发送请求到服务器获取iframe中的内容，若网络延迟较高，那么获取内容的时间就会增加，从而导致iframe加载慢；2、资源加载时间长，资源的大小较大或者服务器响应时间较长时，加载速度会更加明显地变慢；3、加载顺序等等。

微软：每次访问时 Outlook 错误都会下载“TokenFactoryIframe”文件Apr 19, 2023 am 08:25 AM

当用户通过Safari浏览器访问电子邮件服务时，微软的Outlook正在macOS上下载一个名为“TokenFactoryIframe”的神秘文件。发现Outlook在每次访问时下载的“TokenFactoryIframe”文件的用户现已广泛报告此问题。Outlook每隔几秒或至少在每次访问Apple平台上的Outlook时都会下载此神秘文件。根据我们的调查结果，这似乎是由发布到Outlook的服务器端更新错误引起的问题，与Safari或macOS无关。微软在一份

什么技术可以代替iframeAug 24, 2023 pm 01:53 PM

可以代替iframe的技术有Ajax、JavaScript库或框架、Web组件技术、前端路由和服务器端渲染等。详细介绍：1、Ajax是一种用于创建动态网页的技术。它可以通过在后台与服务器进行数据交换，实现页面的异步更新，而无需刷新整个页面，使用Ajax可以更加灵活地加载和显示内容，不再需要使用iframe来嵌入其他页面；2、JavaScript库或框架，如React等等。

Python中iframe是什么意思Aug 25, 2023 pm 03:24 PM

Python中iframe是一种HTML标签，用于在网页中嵌入另一个网页或文档。在Python中，可以使用各种库和框架来处理和操作iframe，其中最常用的是BeautifulSoup库，可以轻松地从一个网页中提取出iframe的内容，并对其进行操作和处理。掌握如何处理和操作iframe对于Web开发和数据抓取都是非常有用的。

iframe嵌入播放器是什么Aug 25, 2023 pm 02:13 PM

iframe嵌入播放器是一种在网页中嵌入视频播放器的技术。嵌入播放器的优点有：1、灵活性，通过使用iframe标签，可以将来自不同来源的视频媒体嵌入到同一个网页中；2、易用性，只需复制并粘贴嵌入代码，即可将播放器添加到网页中；3、可以通过设置参数来控制播放器的外观和行为；4、可以通过使用JavaScript来控制播放器的操作等等。

ie中的iframe是什么意思Aug 24, 2023 pm 05:42 PM

IE中的iframe是一种强大的工具，可以用于在网页中嵌入其他网页或文档，实现页面的分割和内容的展示。通过合理的使用和注意事项，可以充分发挥iframe的优势，提升网页的用户体验和功能性。

什么可以替代iframeAug 24, 2023 pm 01:49 PM

可以替代iframe的有Ajax请求、Web组件、框架和库、跨域通信、使用CSS布局和样式等。详细介绍：1、Ajax请求可以动态加载并显示其他网页或内容，而无需使用iframe，通过使用XMLHttpRequest对象或更现代的fetch API，可以实现异步加载内容，并将其插入到当前网页中的DOM树中，可以避免iframe的安全问题，并且可以更好地控制和操作加载的内容等等。

iframe禁用是什么意思Aug 25, 2023 pm 02:05 PM

iframe禁用是指在网页中禁止使用iframe标签的功能。由于一些安全和隐私的考虑，有时候需要禁用iframe标签的使用，常见的禁用方法：1、通过设置X-Frame-Options响应头，表示不允许嵌入到任何iframe中；2、使用Content-Security-Policy，控制是否允许嵌入到iframe中；3、使用JavaScript禁用iframe标签等。

See all articles