問題タブ [p3p]

Facebookアプリケーションでコンパクトなp3pヘッダーを設定することの技術的な意味を理解しようとしています。私のサイト（iframe）にp3pヘッダーを設定すると、Facebook（親）が私のCookieを読み取れるようになると誰かが私に言いました。

私はこれが事実であるとは信じていません。私の理解から、p3pは（サイト所有者としての）私とユーザー（Internet Explorer）の間の（単なる）法的拘束力です。

誰かが私にこれを説明する信頼できる情報を（人間の読みやすい言葉で）指摘することができれば、私は非常に義務付けられます。すべてのw3cドキュメントを読みましたが、探しているものが見つかりませんでした。

P3P 実装を機能させようとしています。必要なポリシーを生成しました。コンパクト ポリシー CP="some text here..." を持つメタ タグがあります。サイトの Cookie をオフにしてアプリを起動したところ、Cookie がブロックされているというエラーが表示されました。概要を表示できたので、設定したポリシーに一致しました。Cookie をオフにしたのでこれは理にかなっていますが、ポリシーなどを設定すると、Cookie の通過を許可するだけでよいのではないでしょうか? 繰り返しになりますが、意図した結果が何であるかはわかりません。

どんな助けでも大歓迎です。

デビッド W.

ここで、IE の iframe 内で Cookie を機能させる方法に関する多くの投稿を見てきました。いくつかの解決策を試しましたが、これまでのところうまくいきませんでした。これが私が扱っているものです：

• 顧客のサイト (ウィジェット) で Javascript を介して作成された iframe があります。顧客のサイトを制御することはできません。ユーザーが iframe 内にログインし続けるように Cookie を設定する必要があります。これは Chrome と Firefox では機能しますが、IE 7/8 では機能しません。IE 6 はテストしていませんが、同じ問題があると思います。

• IBM のポリシー エディターを使用して P3P ポリシーを作成しましたが、エディターは、低、中、高のいずれに設定されていても、IE のセキュリティではコンパクト ポリシーが許容されると述べました。私が使用しているCPは次のとおりです。

P3P: policyref="/w3c/p3p.xml" CP="CAO DSP COR CURa ADMa DEVa PSAa PSDa CONi TELi OUR IND PHY ONL UNI COM NAV INT DEM CNT PRE" (人々が効果があると言っている他のいくつかの CP を試しましたが、結果に違いは見られませんでした。)

• Web サーバー (NGINX) は、すべてのファイルでこの P3P ヘッダーを提供しています。私はコードからそれを提供していません。

• p3p.xml ファイルが存在し、コンパクト ポリシーに一致します。p3p.xml は、W3C P3P バリデーターを使用して検証します。

• P3P ヘッダーを使用しても (どのヘッダーを試しても)、IE では下部のステータス バーに「邪眼」が表示され、Cookie を設定できません。プライバシー レポートでブロック済みとして表示されます。

• このトピックに関する SO に関する Piskvor の投稿を読みました: Internet Explorer の IFRAME に Cookie がブロックされている/保存されていませんが、デモ サイトで彼が実行できたことを再現できませんでした: http://newmoon.wz.cz/test /page.php?send_p3p=1 . これは、私が邪眼を得て、彼がそうではないためだと思います。悪を取り除くための推奨事項として読んだことはすべて実行しましたが、それは持続します. 私をあざける。

• 試してみたい場合は、私のテスト ページを参照してください。 IE使用時。

• 参考までに、バックエンドで PHP を使用しています。

どんな助けでも大歓迎です-私たちはここで必死になっています。

ありがとう！

しばらく前にこの質問をしましたが、 p3pポリシーを設定しない限り、IEはiframe内のクロスドメインCookieをブロックすることがわかりました。これまでのところ、p3p修正はieで見事に機能しています。ただし、現在、Safariでも同じエラーが発生しています。

サファリのp3pポリシーが異なる記事を見つけました。このコードを追加してp3pポリシーを設定しましたが、それでもリクエスト検証トークンエラーが発生します。

それが何を意味するのかはわかりませんが、Safariでは機能しません（5）。

また、サーバーエラーが発生すると、すべてのhttpヘッダーを含むすべての情報がレポートで送信されます。これらのエラーでは、p3pヘッダーが通過することはありません。それが仕様によるものなのか、それとも問題が進行していることを示しているのかはわかりません。

私たちのアプリは Facebook でホストされています。ご存知のように、Facebook はサードパーティのアプリを IFrame でホストしています。また、Iframe 内の Web サイトと親 Web サイトが別のドメインにある場合、コンパクト ポリシーを持たないサード パーティ (クロス ドメイン) の Cookie は、中程度のプライバシー設定の IE でブロックされることも知っているかもしれません。したがって、Web サイト用にコンパクトな p3p ポリシーを構成する必要があります。私の一般的な質問は、Azure でこれを行うための推奨される方法は何ですか? これに関するドキュメントをいただければ幸いです。私は見て、見て、私にとってはうまくいかない断片しか見つけることができませんでした.

p3p ポリシー ファイル (html、xml、コンパクト、参照ファイル) は既に作成済みです。基本的に、必要な部品はすべて揃っていると思います。それらを有効にする方法の指示がありません。

追加のサブ質問:

ページが要求されるたびに、応答ヘッダーの一部としてコンパクトな p3p ポリシーを提供する必要がありますか?

また

Azure 上の IIS を構成して、サイト全体のヘッダーを設定できますか? このリンクを見つけました

http://richardprodger.wordpress.com/2011/04/06/p3p-and-iis-in-azure/

Azure で appcommand を作成して実行する方法について説明しています。ただし、それを実行してデプロイしようとすると、ロール インスタンスが開始されません。彼らは無限にぶら下がっています。

敬具、

アルチル

ここ数週間、IE でのセッション cookie の保存に関する問題を突き止めようとしています。私たちのアプリケーションは iFrame 内で実行されているため、Cookie はサードパーティと見なされます。

IE 6 および 7 で必要な P3P ヘッダーは認識していますが、何らかの理由で Cookie を保存しない IE6/7 ユーザーが依然として多くいます。また、自分のマシンで再現することもできません。

次の P3P ヘッダーを試しました: CP=\"IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT\"

サードパーティの Cookie を保存するための IE6/7 の正確な要件を知っている人はいますか? どこにも見つかりませんでした。

注: このトピックは何度も議論されていることを知っており、この件に関するほとんどすべてのスレッドを読みました。

ありがとう、シュロミ・フラクター

私の共同創設者と私は、 IE ユーザーがCanvas IFRAMEでホストされているFacebook アプリにログインできるように、Azure で動作する P3P コンパクト ポリシーを取得しようとしています。

コンパクトなポリシーを作成する作業を行い、すべての XML の利点を生成しました。その部分はできています。しかし、Azure に正しいことをさせるという幸運はまったくありません。

このリンクの手順に従いました。「うわー、簡単ですね」そうではありませんでした。これらの手順を実行した後、Azure サーバーは明らかな無限ループに陥りました。

http://richardprodger.wordpress.com/2011/04/06/p3p-and-iis-in-azure/

P3P と Azure をうまく連携させることができた場合は、何をしたか教えていただけますか? 上記のリンク先のブログ エントリはどの程度正確ですか? どんな助けでも大歓迎です。明日 (6 月 6 日) にハード ローンチを行います。

[編集]

私の共同創設者は、この問題は、Azure が *.cmd ファイルまたはおそらく *.P3P ファイルを持ち込んでいないことに関連している可能性があると考えています。彼は、これらのファイルがソリューションの一部であることを Azure に明示的に伝える必要があるかもしれないと考えています。(もちろん、この時点では暗闇で撮影しています。)

キャプチャを使用する iframe 内に連絡フォームがあるため、セッション変数が必要です。IE9 以外のすべてのブラウザで正常に動作します。IE8 で動作させるために、php ドキュメントの先頭に次の行を追加しました。

ただし、これは IE9 では機能しないようです。何か案は？

ヘッダーは、IE で iframe を介したクロス ドメイン リクエストを許可するために使用されます。これを追加してテストしたところ、IE でコードが期待どおりに実行されるようになりました。

このヘッダーを追加すると、どのような害が生じる可能性がありますか?

iFrame 経由でアクセスする外部 Web サイトに自動ログイン スクリプトを設定しようとしています。

つまり、iframe url="http://www.othersite.com/autologin/?token=029dd3df34ds"

そのスクリプトはDBに対してトークンをチェックし、成功した場合はlogged_inセッションを設定してからリダイレクトするだけです。

セッションの設定に失敗しているだけで、その理由がわかりません。

ここで奇妙なのは、この外部サイトの通常のログイン フォーム (同様のログイン、セッション処理) が機能することです。

どちらの場合も、私は使用していますheader('P3P: CP="CAO PSA OUR"');

何かご意見は？