对于IE来说(默认安全级别下),iframe、img、link等标签都是只发送session cookie(又叫 第一方cookie),拦截本地cookie发送(又叫第三方cookie)。当这些标签跨域引用一个页面,实际上是发起了一次GET请求。

如果这个跨域的请求,HTTP返回头中带有Set-Cookie , 那么这个cookie对浏览器来说,实际上是无效的。

看如下测试

假设有 www.a.com    与 www.b.com 两个域

在 www.b.com 上有一个页面,其中包含一个指向 www.a.com 的iframe

http://www.b.com/test.html 的内容为:
----------------------------------------------------------------------

<iframe width=300 height=300 src="http://www.a.com/test.php" ></iframe>

----------------------------------------------------------------------

http://www.a.com/test.php 是一个对 a.com 域设置 cookie的页面,其内容为:
----------------------------------------------------------------------

<?php

header("Set-Cookie: test=axis; domain=.a.com; path=/");

?>

<script>
    alert(document.cookie);
</script>

----------------------------------------------------------------------

此时我们请求 http://www.b.com/test.html , 他包含一个iframe,会去跨域请求 www.a.com/test.php ,该php页面会尝试 set-cookie

第一次请求, test.php 会 set-cookie,所以浏览器会收到一个cookie。

如果 set-cookie 成功,再次请求该页面,浏览器应该会 sent 刚才 recieve 到的cookie。可是由于前面说的跨域限制,在IE里的iframe标签是 set-cookie不成功的,所以无法sent刚才收到的cookie。 这里无论是 session cookie 还是本地cookie都是一样。

可以看到,第二次发包,还是没能sent出去cookie

但是这种情况在加入了P3P header 后会改变。

P3P header允许跨域访问隐私数据,从而可以跨域set-cookie成功

我们修改 www.a.com/test.php 为

<?phpheader("P3P: CP=CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR");header("Set-Cookie: test=axis; expires=Sun, 23-Dec-2018 08:13:02 GMT; domain=.a.com; path=/");?><script>alert(document.cookie);</script>

再次访问两次上面的测试过程

可以看到第二个包已经发送出了收到的cookie

而我们写的javascript也能够弹出cookie了。

值得注意的是,P3P header只需要设置一次,这样跟在这个P3P header后面的所有 set-cookie,都可以跨域访问了。也就是说: 被P3P header设置过一次后,之后的请求不再需要P3P header,也能够在iframe里跨域发送这些cookie。

但是如果用 set-cookie 去改变设置好的cookie,则不再具有这种跨域访问特性。

P3P header 还有一个特点就是同一个包里只能设置一次,后面的P3P Header不会覆盖前面的P3P header,浏览器只认第一个。

P3P 是 The Platform for Privacy Preferences 的简称

更多具体的内容可以参阅W3C的标准 http://www.w3.org/TR/P3P/

在这里,我们看到的很乱的 P3P header里的东西,都不知道是什么乱七八糟的策略内容,实际上这是一些简写

比如 上面用到的

P3P: CP=CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR

CP 是 Compact Policy 的简写

CURa 中 CUR 是 <current/> 的简写, a 是 always 的简写

当然P3P header也可以直接 引用一个 xml 策略文件

比如这么写

HTTP/1.1 200 OK
P3P: policyref="http://catalog.example.com/P3P/PolicyReferences.xml"
Content-Type: text/html
Content-Length: 7413
Server: CC-Galaxy/1.3.18

使用P3P的方法还有很多,这里不一一列举了。

最后,利用P3P Header 的这种特性,在实际攻击中,还是可以利用一下的。

比如利用CRLF插入一个P3P header后,改变一个本地cookie的值,该cookie在之后的过程中可以被iframe引用到,也许会发生一些很奇妙的事情。

具体会变成什么样我也不知道,毕竟web应用安全和环境的关系是越来越紧密了。

转自:

  关于PHP的header("P3P: CP=CURa……")

关于PHP的header(P3P: CP=CURa……)相关推荐

  1. 【转】关于PHP的header(P3P: CP=CURa……)

    对于IE来说(默认安全级别下),iframe.img.link等标签都是只发送session cookie(又叫 第一方cookie),拦截本地cookie发送(又叫第三方cookie).当这些标签跨 ...

  2. 用P3P header解决IE下iframe跨域访问时候session丢失的问题

    用P3P header解决IE下iframe跨域访问时候session丢失的问题 整合客户的登录时,或者其他一个网站通过iframe时,特别是一个http页面,访问一个https页面时,常常会sess ...

  3. php p3p跨域登录,php+ajax实现多域名跨域登录例子(基于P3P)

    在以前如果我们要实现php+ajax实现多域名跨域登录的话很多朋友都碰到无法正常跨域登录问题,下面我来给大家解决跨域名登录问题,有需要的参考. 该同步登陆需求需满足以下三个关键点: 1)A域名下登陆的 ...

  4. 通过 P3P规范让IE跨域接受第三方cookie session

    所谓第三方 cookie,就是说你访问网页 A,却接收到域名 B 的 cookie 设定指令.这可能是由于网页 A 请求或链接了 B 的网页,比如上面提到的 iframe 以及 jsonp. 我查到了 ...

  5. 转载 - 通过设置P3P头来实现跨域访问COOKIE

    作者:老王 网上看了别人介绍的一片文章,说使用P3P可以完成跨域COOKIE操作,感觉很COOL,不过没有提供源代码,我胡乱写了一下,大家看看. 实际工作中,类似这样的要求很多,比如说,我们有两个域名 ...

  6. PHP利用P3P实现跨域

    有别于js跨域.IFRAME跨域等的常用处理办法,还可以利用P3P来实现跨域. P3P是什么 P3P(Platform for Privacy Preferences)是W3C公布的一项隐私保护推荐标 ...

  7. 使用p3p跨域设置Cookie

    有些时候不能将url上的参数传来传去,比如与调用某开放平台上的接口,这时候可能需要借助Cookie来进行处理了,但这里可能又涉及到跨域的问题. 如果浏览器开启了对Cookie的支持,按照Cookie ...

  8. PHP 通过设置P3P头来实现跨域访问COOKIE

    我的是CentOS的系统(Linux 内核) 编辑HOST vi /etc/hosts 加入 127.0.0.1        www.a.com 127.0.0.1        www.b.com ...

  9. php利用P3P头实现跨域设置cookie

    在开发中,我们碰到的跨域主要还是纠结在IE,页面中的IFRAME或者FRAME或者JS跨域的时候,IE有安全策略限制页面不带cookie,但是如果我们加上P3P,就没有这策略的限制.这也是P3P来突破 ...

最新文章

  1. 如何在DataGrid里面使用动态图形表示数字
  2. Intellij IDEA 将工程转换成maven工程 详解
  3. iicFPGA程序及仿真
  4. 构造函数不可以是虚函数;析构函数可以是虚函数,也可以是纯虚函数。
  5. boost asio 性能与线程安全性
  6. 趣学python3(26)-pygame-蛇身运动
  7. apache加载php配置
  8. jQuery框架学习第六天:jQuery中的Ajax应用
  9. YC StartupSchool 2018 2019 笔记
  10. android viewflipper图片轮播,android开发:ViewFlipper实现图片轮播
  11. QWidget *parent
  12. Eclipse-阶段1-配置问题解决
  13. php的对象和数组应该学js,JavaScript数组与对象的常用方法及 json 的序列化
  14. 在Asp.net中弹出对话框,确定后跳转到其他页面
  15. dlna 斐讯r1怎么用_挽救智障——斐讯R1:固件升级、安装DLNA和Soundwire
  16. 如何判断机器学习数据集是否是线性的?
  17. ubuntu安装WPS字体缺失的解决办法
  18. 【Meta Learning学习笔记】Meta Learning详解
  19. 滴滴分析专家8000字干货:数据如何驱动业务增长 ?
  20. 微软python认证难不难_微软MTA认证98-381Python高分必看——100小时Python从0到1完全学习实战...

热门文章

  1. oracle db file sequential read,2.db file sequential read等待事件
  2. 九度_题目1388:跳台阶
  3. 轻松将图像上传到Photobucket
  4. 从1.5K到18K,一个程序员的5年成长之路
  5. 移动端长按复制功能禁用或启用css控制
  6. 新加坡移动端学习社交平台 Teamie 融资 110 万美元,ACP 基金领投
  7. 基于springboot家具销售电商平台
  8. 建ftp服务器网站名称怎样填,ftp服务器创建用户名和密码是什么
  9. 淘宝发布产品数量会受限吗?
  10. Web前端开发规范文档你需要知道的事