P3P 策略无法在 IE 中允许第 3 方 cookie

Question

预先感谢您对第一次发帖的帮助。我一整天都在用头撞墙

我有一个网站，必须能够在框架内运行时运行并设置 cookie。在 IE 中，使用默认安全设置，这是一个问题，因为框架站点的 cookie 被视为第三方。现在，我已经阅读了有关 P3P 的所有信息，并且创建了一个紧凑的隐私策略，通过 HTTP 标头、XML 策略文件和 XML 参考文件提供服务。我已经检查过，标头发送正确，并且 IE 可以读取策略文件。

然而，它仍然阻止来自该网站的 cookie。我在这里创建了一个精简的示例： http://www.hankshelper.com/privtest.php请注意，框架站点中的 cookie 被 IE（6、7 和 8）阻止。

如果有人可以查看我的紧凑政策

Header set P3P "policyref=\"/w3c/p3p.xml\", CP=\"IDC DSP COR NID DEVi OUR BUS INT\""

和/或 XML 政策http://www.searchtempest.com/w3c/searchtempest.xml

让我知道wtf，我将永远感激不已。我已经尽可能地剥离了它们，而且我看不出 IE 会出现什么问题。（当然，就其阻止 cookie 的确切原因而言，IE 本身非常冗长……）我很乐意提供您需要的任何其他信息。

Answer 1

我不确定我们最初的紧凑政策的哪一部分被拒绝，但我终于能够在其他资源的帮助下解决这个问题。

从这里： http://www.marco.org/2007/04/27/p3p-sucks-how-to-get-frame-cookies-unblocked-in-ie6

这大约是最低HTTP标头，它基本上说“我们没有收集您的任何个人数据”：

P3P：CP=”NID DSP 所有 COR”

如果您实际存储了一些数据，例如电子邮件地址和登录cookie，则此（也有效）策略可能更正确：

P3P：CP=“所有 ADM DEV PSAi COM 我们的 OTRo STP IND ONL”

我们最终使用的政策是

ALL ADM DEV PSAo COM OUR OTRo IND ONL

所有紧凑策略参数的描述可以在这里找到： http://www.p3pwriter.com/LRN_111.asp

Answer 2

在 http://www.webentrust.com/p3p.html 该策略检查器说Error: No P3P Policy Found

您是说，在P3P头，这样：

P3P: policyref="/w3c/p3p.xml", CP="IDC DSP COR NID DEVi OUR BUS INT"

意思是“我有这样的紧凑型策略（CP），并且还这个充满政策：/w3c/p3p.xml”。但 http://www.hankshelper.com/w3c/p3p.xml （上文已参考）给出了一个404 Not Found错误。你必须创建P3P策略 - 例如使用 IBM P3P编辑并上传到指定的路径。