我们有一个网站(www.example.com)将用户发送到一系列第三方网页,以验证我们在iframe中执行的付款详细信息.最初,来自www.example.com的本地页面加载到iframe中,并且用户被重定向到第三方URL.一旦用户完成第三方步骤,他们就会被重定向回iframe中我们网站(www.example.com)上的页面.
这适用于我们测试的所有浏览器,除了IE 11,我们的cookie似乎丢失了.我们已经在桌面和"Metro"模式下在Windows 7和8.1下进行了检查,问题出在所有版本中.
当用户浏览我们的网站时,我们设置了一个会话cookie,该cookie正确地发送到最初在iframe中加载的第一方页面.但是,一旦用户浏览了此iframe中的某些第三方网页,会话Cookie就不会与下一个请求一起发送.
如果我们将IE 11的隐私设置设置为最低值,则此问题将消失,并且按预期工作.
到目前为止,我出现的所有潜在解决方案都与P3P标头有关.我们有一个有效且正确的P3P标头和XML策略文件设置,这个问题只发生在IE 11中.
更新:我们使用JS设置了一些其他cookie.这些都像预期的那样持续存在.差异是到期日期(JS cookie为1年,会话cookie为1个月),域(JS cookie明确为"example.com",会话cookie为空)以及它们是否为"仅HTTP"(JS为false) cookies,适用于会话cookie).
我已经尝试根据会话cookie的JS cookie设置所有这些选项,但它没有任何区别.
更新2:经过更多测试后,我无法创建重新创建此问题的测试用例.我尝试在实时代码中测试的任何其他cookie似乎也会被破坏,即使它们设置的代码与JS cookie完全相同.简而言之; 我还没有找到任何有用的cookie和有效的cookie.
一个可能有趣的事情是,cookie没有被删除,它们只是没有被发送到最终请求.如果加载了另一个页面,cookie会神奇地重新出现并被发送; 这让我相信这是一个围绕iframe和P3P的错误.
更新3(第3天): IE 11对cookie的处理继续让我感到困惑.我进入微软的迷宫越远,我就越失去其变幻的墙壁.这里有幽灵.半梦的安全政策的片段,它们已经融入了一些空灵的生物,它在每一个动作中追踪和嘲弄我.起初,我被冻结,惊恐,惊恐地看着刚刚看不见的几乎不可思议的形状,但是每过一个小时,我就会从仅靠近处的知识中获得更多的安慰.这可能是我被派到这里面对的野兽吗?在这种时候我怎么能杀死我唯一的伴侣?
我们在Internet Explorer 11中遇到了类似的问题,其中会话cookie在通过https重定向后丢失.
请求链看起来像这样:
初始请求/ - > 会话cookie设置 - > 重定向到外部URL - > 重定向回(会话cookie丢失)
我们的问题是由于根据RFC952的主机名无效,我们在测试服务器URL中有下划线.如果URL不符合RFC952,则Internet Explorer似乎默默地通过https重定向会话cookie.当使用破折号而不是下划线时,一切都按预期工作.
最初的解决方案是在2004年的asp.net博客文章的Update 2部分中找到的.相关的microsoft bug ticket 在这里.
希望这会对某人有所帮助.