Iframe cookies браузер заблокировал

Обновлено: 07.07.2024

Edit3: некоторые серверные скрипты AJAX +, по-видимому, способны обойти проблему, но это очень похоже на ошибку, плюс открывает целый ряд новых дыр в безопасности . Я не хочу, чтобы мои приложения использовали комбинацию баг + дыра в безопасности только потому, что это легко.

Изменить: основной причиной была политика P3P , полное объяснение которой приведено ниже.

действительно хорошее решение .. я попытался создать политику конфиденциальности .. добавлен в мой контекстный корень . и на моей странице JSP я устанавливаю заголовок .. до сих пор не могу избавиться от этого красного глаза .. можете ли вы помочь я Спасибо за демонстрационный сайт @Piskvor, я упомянул его здесь в этом посте Security.SE, в котором перечислены веб-сайты с интерактивными тестами браузера @ makerofthings7: YW. Я перенесу его на временный (sic!) Сайт и предложу отредактировать Security.se, чтобы эта страница была несколько хакерской проверкой концепции.

Я получил его на работу, но решение немного сложное, так что терпите меня.

Таким образом, Internet Explorer обеспечивает более низкий уровень доверия страницам IFRAME (IE называет это «сторонним» контентом). Если страница внутри IFRAME не имеет Политики конфиденциальности, ее куки блокируются (что обозначается значком глаза в строке состояния, при нажатии на который отображается список заблокированных URL-адресов).

В этом случае, когда куки блокируются, идентификатор сеанса не отправляется, и целевой скрипт выдает ошибку «сеанс не найден».

(Я попытался установить идентификатор сессии в форму и загрузить его из переменных POST. Это сработало бы , но по политическим причинам я не смог этого сделать.)

Можно сделать страницу внутри IFRAME более надежной: если внутренняя страница отправляет заголовок P3P с политикой конфиденциальности, приемлемой для IE, файлы cookie будут приняты .

Создайте политику p3p

Хорошей отправной точкой является учебник по W3C . Я прошел через это, скачал Редактор политики конфиденциальности IBM и там я создал представление политики конфиденциальности и дал ему имя для ссылки на него (здесь оно было policy1 ).

ПРИМЕЧАНИЕ : на данный момент вам действительно нужно выяснить, есть ли на вашем сайте политика конфиденциальности, а если нет, то создать ее - собирает ли она пользовательские данные, какие данные, что с ними происходит, кто имеет к ней доступ, и т.д. Вам нужно найти эту информацию и подумать об этом. Просто сложив несколько тегов, вы не обрежете его. Этот шаг не может быть сделан исключительно в программном обеспечении и может быть очень политическим (например, «мы должны продавать нашу статистику кликов?»).

(например, «сайт управляется ACME Ltd., он использует анонимные идентификаторы сеанса для своей работы, собирает пользовательские данные только в случае явного разрешения и только для следующих целей, данные хранятся только столько времени, сколько необходимо, только наша компания»). имеет к нему доступ и т. д. и т. д.).

(При редактировании с помощью этого инструмента можно просматривать ошибки / пропуски в политике. Также очень полезна вкладка «Политика HTML»: в нижней части находится «Оценка политики» - быстрая проверка, будет ли политика заблокирована по умолчанию в настройках IE)

Редактор экспортирует в файл .p3p, который представляет собой XML-представление вышеуказанной политики. Кроме того, он может экспортировать «компактную версию» этой политики.

Ссылка на политику

Отправьте компактный заголовок с ответами

policyref является относительным URI к файлу ссылки на политику (который, в свою очередь, ссылается на политику конфиденциальности), CP представляет собой компактное представление политики. Обратите внимание, что комбинация заголовков P3P в этом примере может не применяться на вашем конкретном веб-сайте; Ваши заголовки P3P ДОЛЖНЫ правдиво представлять вашу собственную политику конфиденциальности!

В этой конфигурации Evil Eye не появляется, куки сохраняются даже в IFRAME, и приложение работает.

Несколько человек предложили «просто вставить несколько тегов в заголовок P3P, пока дурной глаз не сдастся».

Теги - это не просто куча битов, они имеют значения реального мира , а их использование дает вам ответственность реального мира !

Например, притворство, что вы никогда не собираете пользовательские данные, может сделать браузер счастливым, но если вы на самом деле собираете пользовательские данные, P3P вступает в противоречие с реальностью. Проще говоря, вы целенаправленно лжете своим пользователям , и в некоторых странах это может быть преступным поведением. Например, «отправляйся в тюрьму, не собирай 200 долларов».

NOI : «Веб-сайт не собирает идентифицированные данные». (как только появится какая-либо настройка, логин или какой-либо сбор данных (***** Analytics, кто-нибудь?), вы должны подтвердить это в своем P3P)
STP : Информация сохраняется для достижения заявленной цели. Это требует, чтобы информация была удалена как можно раньше. Сайты ДОЛЖНЫ иметь политику хранения, которая устанавливает расписание уничтожения. Политика хранения ДОЛЖНА быть включена или связана с понятной для человека политикой конфиденциальности сайта. "(Поэтому, если вы отправляете, STP но у вас нет политики хранения, возможно , вы совершаете мошенничество. Насколько это круто? Совсем нет.)

Я не юрист, но я не хочу идти в суд, чтобы узнать, действительно ли заголовок P3P имеет юридическую силу или вы можете пообещать своим пользователям что-нибудь, фактически не желая выполнять свои обещания.

Сторонние куки — это куки, которые установлены другим веб-сайтом, отличным от того, на котором вы сейчас находитесь. Например, cnn.com может иметь кнопку "Нравится" от Facebook на своем сайте. Кнопка "Нравится" будет устанавливать куки, который может быть прочитан Facebook. Такие куки будут рассматриваться как сторонние куки. Некоторые рекламодатели используют эти типы куки для отслеживания ваших посещений по многим веб-сайтам о том, что они рекламируют. Это называется межсайтовое отслеживание.

Примечание: Межсайтовые отслеживающие куки теперь отключены по умолчанию для всех пользователей Firefox. Прочитайте статью Улучшенная защита от отслеживания для получения дополнительной информации, как Firefox защищает вас от отслеживания.

Когда сторонние куки отключены, это может остановить некоторые, но не все типы отслеживания. Если вас беспокоит отслеживание, прочитайте также статьи Как мне включить функцию "Не отслеживать"?, Улучшенная защита от отслеживания в Firefox для ПК и Трекеры и скрипты, которые Firefox блокирует в Улучшенной защите от отслеживания.

Чтобы заблокировать межсайтовые трекеры или все сторонние куки:

На Панели меню в верхней части экрана щёлкните Firefox и выберите Настройки . Нажмите на кнопку меню и выберите Настройки Настройки . Нажмите на кнопку меню и выберите Настройки .

Firefox также включает в себя Полную защиту куки в Строгом режиме и в режиме Приватного просмотра, который создаёт "клетку куки" для каждого веб-сайта. Это ограничивает куки сайтом, где они были созданы, так что они не могут отслеживать вас между веб-сайтами.

Некоторые веб-сайты могут не работать должным образом при блокировке сторонних куки, даже с настройкой по умолчанию Кросс-сайт и трекеры в социальных сетях Межсайтовые куки — включая куки социальных сетей .

Чтобы отключить Улучшенную защиту от отслеживания для отдельного веб-сайта:

Чтобы включить Улучшенную защиту от отслежинваия обратно, произведите те же действия.

Эти прекрасные люди помогли написать эту статью:

Станьте волонтёром

Растите и делитесь опытом с другими. Отвечайте на вопросы и улучшайте нашу базу знаний.

Эта статья описывает, как решить проблемы, при которых некоторые веб-сайты могут сообщать, что у вас отключены или заблокированы куки. Более подробная информация о куках опубликована в статье Куки - информация, которую веб-сайты хранят на вашем компьютере.

Если выбрана Стандартная , это настройка по умолчанию, и, кроме трекеров, все куки включены. Для получения дополнительной информации прочитайте статью Трекеры и скрипты, которые Firefox блокирует в Улучшенной защите от отслеживания.

Диалоговое окно Исключения - Куки и данные сайтов, которое откроется, покажет вам, какие сайты вы заблокировали от сохранения куков.

Если это так, щёлкните по этой записи и щёлкните по Удалить веб-сайт .

Куки и временные файлы, хранящиеся на вашем компьютере, могут быть причиной того, что куки будут заблокированы. Удалите их, а потом проверьте, не решена ли ваша проблема:

Вся история (история навигации и загрузок, куки, кэш, активные сессии, пароли, сохранённые данные форм, исключения для куков, изображений и всплывающих окон) этого сайта будет удалена.

Если удаление куков для этого сайта не решило проблему, то очистите все куки, хранящиеся на вашем компьютере, и очистите кэш Firefox:

Эти прекрасные люди помогли написать эту статью:

Станьте волонтёром

Растите и делитесь опытом с другими. Отвечайте на вопросы и улучшайте нашу базу знаний.

Все веб-обозреватели дают возможность включать либо отключать приём файлов. Давайте посмотрим, как активировать куки, используя настройки обозревателя Google Chrome. Аналогичные действия можно произвести и в других известных браузерах.