Tôi có hai trang web, giả sử chúng example.comvà anotherexample.net. Vào anotherexample.net/page.html, tôi có một IFRAME SRC="http://example.com/someform.asp". IFRAME đó hiển thị một biểu mẫu để người dùng điền và gửi tới http://example.com/process.asp. Khi tôi mở biểu mẫu (" someform.asp") trong cửa sổ trình duyệt riêng, tất cả đều hoạt động tốt. Tuy nhiên, khi tôi tải someform.aspdưới dạng IFRAME trong IE 6 hoặc IE 7, cookie cho example.com không được lưu. Trong Firefox, vấn đề này không xuất hiện.

Để thử nghiệm, tôi đã tạo một thiết lập tương tự trên http://newmoon.wz.cz/test/page.php .

example.comsử dụng các phiên dựa trên cookie (và tôi không thể làm gì về điều đó), vì vậy nếu không có cookie, process.aspsẽ không thực thi. Làm cách nào để buộc IE lưu các cookie đó?

Kết quả đánh hơi lưu lượng HTTP: trên phản hồi GET /someform.asp, có tiêu đề Set-Cookie mỗi phiên hợp lệ (ví dụ Set-Cookie: ASPKSJIUIUGF=JKHJUHVGFYTTYFY), nhưng trên yêu cầu POST / process.asp, hoàn toàn không có tiêu đề Cookie.

Chỉnh sửa 3: một số kịch bản lệnh máy chủ AJAX + rõ ràng có khả năng khắc phục sự cố, nhưng nó trông rất giống một lỗi, cộng với nó mở ra một loạt các lỗ hổng bảo mật mới . Tôi không muốn các ứng dụng của mình sử dụng kết hợp lỗi + lỗ hổng bảo mật chỉ vì nó dễ dàng.

Chỉnh sửa: chính sách P3P là nguyên nhân gốc , giải thích đầy đủ bên dưới.

Tôi đã làm cho nó hoạt động, nhưng giải pháp hơi phức tạp, vì vậy hãy chịu đựng tôi.

Chuyện gì đang xảy ra

Như vậy, Internet Explorer cung cấp mức độ tin cậy thấp hơn cho các trang IFRAME (IE gọi đây là nội dung "bên thứ ba"). Nếu trang bên trong IFRAME không có Chính sách quyền riêng tư, cookie của nó sẽ bị chặn (được biểu thị bằng biểu tượng con mắt trên thanh trạng thái, khi bạn nhấp vào nó, nó sẽ hiển thị cho bạn danh sách các URL bị chặn).

_{(nguồn: piskvor.org )}

Trong trường hợp này, khi cookie bị chặn, số nhận dạng phiên không được gửi và tập lệnh đích sẽ xuất hiện lỗi 'không tìm thấy phiên'.

(Tôi đã thử đặt định danh phiên vào biểu mẫu và tải nó từ các biến POST. Điều này sẽ có hiệu quả , nhưng vì lý do chính trị, tôi không thể làm điều đó.)

Có thể làm cho trang bên trong IFRAME trở nên đáng tin cậy hơn: nếu trang bên trong gửi tiêu đề P3P với chính sách bảo mật được IE chấp nhận, cookie sẽ được chấp nhận .

Làm thế nào để giải quyết nó

Tạo chính sách p3p

Một điểm khởi đầu tốt là hướng dẫn W3C . Tôi đã xem qua nó, đã tải xuống Trình soạn thảo chính sách bảo mật của IBM và ở đó tôi đã tạo ra một đại diện cho chính sách quyền riêng tư và đặt tên cho nó để tham chiếu nó (ở đây là policy1).

LƯU Ý : tại thời điểm này, bạn thực sự cần tìm hiểu xem trang web của bạn có chính sách bảo mật hay không, và nếu không, hãy tạo nó - liệu nó có thu thập dữ liệu người dùng, loại dữ liệu nào, nó làm gì với nó, ai có quyền truy cập vào nó không, vv Bạn cần tìm thông tin này và suy nghĩ về nó. Chỉ cần vỗ vào nhau một vài thẻ sẽ không cắt nó. Bước này không thể được thực hiện hoàn toàn trong phần mềm và có thể mang tính chính trị cao (ví dụ: "chúng ta có nên bán số liệu thống kê nhấp chuột không?").

(ví dụ: "trang web được điều hành bởi ACME Ltd., nó sử dụng định danh ẩn danh mỗi phiên cho hoạt động của nó, chỉ thu thập dữ liệu người dùng nếu được phép rõ ràng và chỉ cho các mục đích sau, dữ liệu chỉ được lưu trữ miễn là cần thiết, chỉ công ty chúng tôi có quyền truy cập vào nó, v.v. ").

(Khi chỉnh sửa bằng công cụ này, có thể xem lỗi / thiếu sót trong chính sách. Cũng rất hữu ích là tab "Chính sách HTML": ở phía dưới, nó có "Đánh giá chính sách" - kiểm tra nhanh xem chính sách có bị chặn không bởi cài đặt mặc định của IE)

Trình chỉnh sửa xuất thành tệp .p3p, là biểu diễn XML của chính sách trên. Ngoài ra, nó có thể xuất một "phiên bản nhỏ gọn" của chính sách này.

Liên kết với chính sách

Sau đó, cần có tệp Tham chiếu Chính sách ( http://example.com/w3c/p3p.xml) (chỉ mục các chính sách quyền riêng tư mà trang web sử dụng):

<META>
  <POLICY-REFERENCES>
    <POLICY-REF about="/w3c/example-com.p3p#policy1">
      <INCLUDE>/</INCLUDE>
      <COOKIE-INCLUDE/>
    </POLICY-REF>
  </POLICY-REFERENCES>
</META>

Các <INCLUDE>chương trình tất cả các URI mà sẽ sử dụng chính sách này (trong trường hợp của tôi, toàn bộ trang web). Tệp chính sách tôi đã xuất từ ​​Trình chỉnh sửa đã được tải lênhttp://example.com/w3c/example-com.p3p

Gửi tiêu đề nhỏ gọn với phản hồi

Tôi đã đặt máy chủ web tại example.com để gửi tiêu đề nhỏ gọn với các phản hồi, như thế này:

HTTP/1.1 200 OK 
P3P: policyref="/w3c/p3p.xml", CP="IDC DSP COR IVAi IVDi OUR TST"
// ... other headers and content

policyreflà một URI tương đối cho tệp Tham chiếu Chính sách (lần lượt tham chiếu các chính sách bảo mật), CPlà biểu diễn chính sách nhỏ gọn. Lưu ý rằng sự kết hợp của các tiêu đề P3P trong ví dụ có thể không áp dụng được trên trang web cụ thể của bạn; tiêu đề P3P của bạn PHẢI thể hiện chính xác chính sách bảo mật của riêng bạn!

Lợi nhuận!

Trong cấu hình này, Evil Eye không xuất hiện, cookie được lưu ngay cả trong IFRAME và ứng dụng hoạt động.

Chỉnh sửa: Những gì KHÔNG nên làm, trừ khi bạn thích bảo vệ khỏi các vụ kiện

Một số người đã đề xuất "chỉ cần đưa một số thẻ vào tiêu đề P3P của bạn, cho đến khi Evil Eye từ bỏ".

Các thẻ không chỉ là một loạt các bit, chúng có ý nghĩa trong thế giới thực và việc sử dụng chúng mang lại cho bạn trách nhiệm trong thế giới thực !

Ví dụ: giả vờ rằng bạn không bao giờ thu thập dữ liệu người dùng có thể khiến trình duyệt hài lòng, nhưng nếu bạn thực sự thu thập dữ liệu người dùng, P3P đang mâu thuẫn với thực tế. Rõ ràng và đơn giản, bạn cố tình nói dối người dùng của mình và đó có thể là hành vi tội phạm ở một số quốc gia. Như trong "đi tù, không thu 200 đô la".

Một vài ví dụ ( xem p3pwriter để biết toàn bộ thẻ ):

• NOI : "Trang web không thu thập dữ liệu được xác định." (ngay khi có bất kỳ tùy chỉnh, đăng nhập hoặc bất kỳ bộ sưu tập dữ liệu nào (***** Analytics, bất cứ ai?), bạn phải thừa nhận nó trong P3P của bạn)
• STP : Thông tin được giữ lại để đáp ứng mục đích đã nêu. Điều này đòi hỏi thông tin phải được loại bỏ trong thời gian sớm nhất có thể. Các trang web PHẢI có chính sách duy trì để thiết lập bảng thời gian hủy. Chính sách duy trì PHẢI được đưa vào hoặc liên kết từ chính sách quyền riêng tư có thể đọc được của con người. "(Vì vậy, nếu bạn gửi STPnhưng không có chính sách duy trì, bạn có thể phạm tội lừa đảo. Điều đó tuyệt vời đến mức nào?

Tôi không phải là luật sư, nhưng tôi không sẵn sàng ra tòa để xem liệu tiêu đề P3P có thực sự ràng buộc về mặt pháp lý hay nếu bạn có thể hứa với người dùng của mình bất cứ điều gì mà không thực sự sẵn sàng thực hiện lời hứa của mình.

Tôi đã dành một phần lớn thời gian trong ngày để tìm hiểu về thứ P3P này và tôi cảm thấy cần phải chia sẻ những gì tôi đã tìm ra.

Tôi đã nhận thấy rằng khái niệm P3P rất lỗi thời và dường như chỉ được sử dụng / thi hành bởi Internet Explorer (IE).

Giải thích đơn giản nhất là: IE muốn bạn xác định tiêu đề P3P nếu bạn đang sử dụng cookie.

Đây là một ý tưởng hay và may mắn là hầu hết thời gian không cung cấp tiêu đề này sẽ không gây ra bất kỳ vấn đề nào (đọc cảnh báo trình duyệt). Trừ khi trang web / ứng dụng web của bạn được tải vào một trang web khác bằng cách sử dụng Khung (i). Đây là lúc IE trở thành nỗi đau lớn trong ***. Nó sẽ không cho phép bạn đặt cookie trừ khi tiêu đề P3P được đặt.

Biết điều này tôi muốn tìm một câu trả lời cho hai câu hỏi sau:

1. Ai quan tâm? Nói cách khác, tôi có thể bị kiện nếu tôi đặt từ "Khoai tây" trong tiêu đề không?
2. Các công ty khác làm gì?

Những phát hiện của tôi là:

1. Không ai quan tâm. Tôi không thể tìm thấy một tài liệu cho thấy công nghệ này có trọng lượng pháp lý. Trong quá trình nghiên cứu, tôi đã không tìm thấy một quốc gia nào trên thế giới áp dụng luật ngăn bạn đặt từ "Khoai tây" trong tiêu đề P3P
2. Cả Google và Facebook đều đặt một liên kết trong trường tiêu đề P3P của họ đề cập đến một trang mô tả lý do tại sao họ không có tiêu đề P3P.

Khái niệm này ra đời vào năm 2002 và nó gây trở ngại cho tôi rằng khái niệm lỗi thời và chưa được thực hiện về mặt pháp lý này vẫn còn bị các nhà phát triển trong IE ép buộc. Nếu tiêu đề này không có bất kỳ phân nhánh hợp pháp nào thì tiêu đề này sẽ bị bỏ qua (hoặc cách khác, tạo cảnh báo hoặc thông báo trong bảng điều khiển). Không thi hành! Bây giờ tôi buộc phải đặt một dòng trong mã của mình (và gửi tiêu đề cho khách hàng) hoàn toàn không có gì.

Nói tóm lại - để giữ cho IE hài lòng - hãy thêm dòng sau vào mã PHP của bạn (Các ngôn ngữ khác sẽ trông tương tự)

header('P3P: CP="Potato"');

Vấn đề được giải quyết, và IE hài lòng với khoai tây này.

Tôi đã có thể khiến con mắt ác quỷ biến mất chỉ bằng cách thêm tiêu đề nhỏ này vào trang web trong IFrame (giải pháp PHP):

header('P3P: CP="NOI ADM DEV COM NAV OUR STP"');

Hãy nhớ nhấn ctrl + F5 để tải lại trang web của bạn hoặc Explorer vẫn có thể hiển thị mắt ác, mặc dù thực tế là nó hoạt động tốt. Đây có lẽ là lý do chính tại sao tôi có quá nhiều vấn đề khiến nó hoạt động.

Không có tập tin chính sách nào là cần thiết cả.

Chỉnh sửa: Tôi tìm thấy một mục blog đẹp giải thích vấn đề với cookie trong IFrames. Nó cũng có một bản sửa lỗi nhanh trong mã C #: Khung, Trang ASPX và Cookies bị từ chối

Điều này bị chôn vùi trong các bình luận của các câu trả lời khác, nhưng tôi gần như đã bỏ lỡ nó, vì vậy có vẻ như nó xứng đáng với câu trả lời của riêng nó.

Để xem lại: để IE chấp nhận cookie của bên thứ 3, bạn cần phân phát các tệp của mình bằng tiêu đề http có tên p3p theo định dạng:

CP="my compact p3p policy"

NHƯNG, p3p đã chết khá nhiều như một tiêu chuẩn vào thời điểm này và bạn có thể dễ dàng khiến IE hoạt động mà không cần đầu tư thời gian và nguồn lực hợp pháp vào việc tạo ra một chính sách p3p thực sự. Điều này là do nếu tiêu đề chính sách p3p nhỏ gọn của bạn không hợp lệ, IE thực sự coi đó là một chính sách tốt và chấp nhận cookie của bên thứ 3. Vì vậy, bạn có thể sử dụng một tiêu đề p3p như thế này

CP="This site does not have a p3p policy."

Bạn có thể tùy ý bao gồm một liên kết đến một trang giải thích lý do tại sao bạn không có chính sách p3p, như Google và Facebook thực hiện (họ chỉ ra tại đây: https://support.google.com/accounts King / 151657 và tại đây: https : //www.facebook.com/help/327993273942160/ ).

Cuối cùng, điều quan trọng cần lưu ý là tất cả các tệp được cung cấp từ trang web của bên thứ 3 cần phải có tiêu đề p3p, không chỉ là tiêu đề đặt cookie, vì vậy bạn không thể thực hiện điều này trong PHP, asp.net, v.v. mã. Bạn có lẽ tốt hơn hết là thiết lập ở cấp độ máy chủ web (tức là trong IIS hoặc Apache).

Tôi cũng gặp vấn đề này, tôi nghĩ rằng tôi đã đăng mã mà tôi đã sử dụng trong dự án MVC2 của mình. Hãy cẩn thận khi trong vòng đời trang bạn thêm vào tiêu đề hoặc bạn sẽ nhận được một HTTPException " Máy chủ không thể nối thêm tiêu đề sau khi tiêu đề HTTP đã được gửi ." Tôi đã sử dụng một ActionFilterAttribution tùy chỉnh trên phương thức OnActionExecuting (được gọi trước khi hành động được thực thi).

/// <summary>
/// Privacy Preferences Project (P3P) serve a compact policy (a "p3p" HTTP header) for all requests
/// P3P provides a standard way for Web sites to communicate about their practices around the collection, 
/// use, and distribution of personal information. It's a machine-readable privacy policy that can be 
/// automatically fetched and viewed by users, and it can be tailored to fit your company's specific policies.
/// </summary>
/// <remarks>
/// More info http://www.oreillynet.com/lpt/a/1554
/// </remarks>
public class P3PAttribute : ActionFilterAttribute
{
    /// <summary>
    /// On Action Executing add a compact policy "p3p" HTTP header
    /// </summary>
    /// <param name="filterContext"></param>
    public override void OnActionExecuting(ActionExecutingContext filterContext)
    {
        HttpContext.Current.Response.AddHeader("p3p","CP=\"IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT\"");

        base.OnActionExecuting(filterContext);
    }
}

Ví dụ sử dụng:

[P3P]
public class HomeController : Controller
{
    public ActionResult Index()
    {
        ViewData["Message"] = "Welcome!";

        return View();
    }

    public ActionResult About()
    {
        return View();
    }
}

Đây là một chủ đề tuyệt vời về vấn đề này, tuy nhiên tôi thấy rằng một chi tiết quan trọng (ít nhất là rất cần thiết trong trường hợp của tôi) không được đăng ở đây hoặc bất cứ nơi nào khác (tôi xin lỗi nếu tôi bỏ lỡ nó) là dòng P3P phải là được chuyển trong tiêu đề của MỌI tệp được gửi từ máy chủ của bên thứ 3, ngay cả các tệp không cài đặt hoặc sử dụng cookie như tệp Javascript hoặc hình ảnh. Nếu không các cookie sẽ bị chặn. Tôi có nhiều hơn về điều này trong một bài đăng ở đây: http://posheika.net/?p=110

Bất cứ ai có vấn đề này trong node.js.

Sau đó thêm mô-đun p3p này và kích hoạt mô-đun này ở phần mềm trung gian.

npm install p3p

Tôi đang sử dụng express nên tôi thêm nó vào app.js

Đầu tiên yêu cầu mô-đun đó trong app.js

var express = require('express');
var app = express();
var p3p = require('p3p');

sau đó sử dụng nó như là phần mềm trung gian

app.use(p3p(p3p.recommended));

Nó sẽ thêm các tiêu đề p3p tại đối tượng res. Không cần phải làm thêm bất cứ điều gì.

Bạn sẽ có thêm thông tin tại:

https://github.com/troygoode/node-p3p

Nếu bất cứ ai đang tìm kiếm dòng Apache; chúng tôi đã sử dụng cái này

Tiêu đề đặt P3P "CP = \" Cảm ơn IE8 \ ""

Chúng tôi thực sự không quan trọng việc chúng tôi đặt giá trị CP là gì, miễn là có tiêu đề P3P.

Một điều có thể làm là thêm tên miền vào các trang web được phép trong các công cụ -> tùy chọn internet -> quyền riêng tư -> trang web: somedomain.com -> cho phép -> OK.

Bài đăng này cung cấp một số bình luận về P3P và một giải pháp rút gọn giúp giảm các vấn đề với IE7 và IE8.

Một giải pháp mà tôi chưa thấy đề cập ở đây, là sử dụng lưu trữ phiên thay vì cookie. Tất nhiên điều này có thể không phù hợp với yêu cầu của mọi người, nhưng đối với một số trường hợp, đây là một sửa chữa dễ dàng.

Tôi đã nghiên cứu vấn đề này liên quan đến việc đăng nhập thông qua Dịch vụ kiểm soát truy cập Azure và không thể kết nối đầu và đuôi của bất cứ thứ gì.

Sau đó, tình cờ thấy bài đăng này https://bloss.msdn.microsoft.com/ieiternals/2011/03/10/bnterest-cookie-shaming-in-cross-zone-scenutions/

Nói tóm lại, IE không chia sẻ cookie giữa các khu vực (ví dụ: Internet so với các trang web đáng tin cậy).

Vì vậy, nếu mục tiêu IFrame và trang html của bạn nằm trong vùng P3P khác nhau sẽ không giúp được gì.

Có vấn đề tương tự, cũng đã đi điều tra cách tạo chính sách P3P sáng nay, đây là bài viết của tôi về cách tạo chính sách của riêng bạn và sử dụng trong trang web :) http://everydayopenslikeaflower.blogspot.com/2009/08/ cách tạo-p3p-chính sách và thực hiện.html

Tôi đã thực hiện chính sách P3P đầy đủ trước đây nhưng không muốn gặp rắc rối một lần nữa cho dự án mới mà tôi đang thực hiện. Tôi thấy liên kết này hữu ích cho một giải pháp đơn giản cho vấn đề, chỉ phải xác định chính sách P3P nhỏ gọn tối thiểu là "CAO PSA OUR":

http://blog.sweetxml.org/2007/10/minimal-p3p-compact-policy-suggestion.html

Bài viết trích dẫn một liên kết (bây giờ bị hỏng) đến một bài viết kb của Microsoft. Chính sách đã lừa tôi!

Bạn cũng có thể kết hợp các tệp p3p.xml và tệp chính sách như sau:

/home/ubfox/sites/ Shared / w3c /p3p.xml

<META xmlns="http://www.w3.org/2002/01/P3Pv1">
  <POLICY-REFERENCES>
    <POLICY-REF about="#policy1">
      <INCLUDE>/</INCLUDE>
      <COOKIE-INCLUDE/>
    </POLICY-REF>
  </POLICY-REFERENCES>
  <POLICIES>
    <POLICY discuri="" name="policy1">
      <ENTITY>
        <DATA-GROUP>
          <DATA ref="#business.name"></DATA> 
          <DATA ref="#business.contact-info.online.email"></DATA> 
        </DATA-GROUP>
      </ENTITY>
      <ACCESS>
        <nonident/>
      </ACCESS>
      <!-- if the site has a dispute resolution procedure that it follows, a DISPUTES-GROUP should be included here -->
      <STATEMENT>
        <PURPOSE>
          <current/>
          <admin/>
          <develop/>
        </PURPOSE>
        <RECIPIENT>
          <ours/>
        </RECIPIENT>
        <RETENTION>
          <indefinitely/>
        </RETENTION>
        <DATA-GROUP>
          <DATA ref="#dynamic.clickstream"/>
          <DATA ref="#dynamic.http"/>
        </DATA-GROUP>
      </STATEMENT>
    </POLICY>
  </POLICIES>
</META>

Tôi đã tìm thấy cách dễ nhất để thêm tiêu đề là proxy thông qua Apache và sử dụng mod_headers, như vậy:

<VirtualHost *:80>
  ServerName mydomain.com

  DocumentRoot /home/ubuntu/sites/shared/w3c/

  ProxyRequests off
  ProxyPass /w3c/ !
  ProxyPass / http://127.0.0.1:8080/
  ProxyPassReverse / http://127.0.0.1:8080/
  ProxyPreserveHost on

  Header add p3p 'P3P:policyref="/w3c/p3p.xml", CP="NID DSP ALL COR"'
</VirtualHost>

Vì vậy, chúng tôi ủy quyền tất cả các yêu cầu ngoại trừ những yêu cầu tới /w3c/p3p.xml đến máy chủ ứng dụng của chúng tôi.

Bạn có thể kiểm tra tất cả với trình xác nhận W3C

Nếu bạn sở hữu tên miền cần được nhúng , thì bạn có thể, trước khi gọi trang bao gồm IFrame, chuyển hướng đến tên miền đó, sẽ tạo cookie và chuyển hướng trở lại, như được giải thích tại đây: http: //www.mendoweb. được / blog / internet-explorer-safari-bên thứ ba-cookie-vấn đề /

Điều này sẽ hoạt động cho Internet Explorer nhưng cũng cho Safari (vì Safari cũng chặn cookie của bên thứ ba).

Tôi biết rằng hơi muộn để đóng góp của mình cho chủ đề này nhưng tôi đã mất rất nhiều giờ để có thể câu trả lời này sẽ giúp được ai đó.

Tôi đã cố gắng gọi cookie của bên thứ ba trên trang web của mình và tất nhiên nó không hoạt động trên Internet Explorer 10, ngay cả ở mức độ bảo mật thấp ... đừng hỏi tôi tại sao. Trong iframe tôi đã gọi read_cookie.php (echo $ _COOKIE) bằng ajax.

Và tôi không biết tại sao tôi không có khả năng thiết lập chính sách P3P để giải quyết vấn đề ...

Trong quá trình tìm kiếm của tôi, tôi đã thấy một cái gì đó về việc làm cho cookie trong JSON hoạt động. Tôi thậm chí không thử vì tôi nghĩ rằng nếu cookie sẽ không đi qua iframe, nó sẽ không chuyển qua một mảng nữa ...

Đoán xem, nó làm gì! Vì vậy, nếu bạn json_encode cookie của bạn sau đó giải mã sau yêu cầu ajax của bạn, bạn sẽ nhận được nó!

Có lẽ có điều gì đó tôi đã bỏ lỡ và nếu tôi đã làm, tất cả lời xin lỗi của tôi, nhưng tôi chưa bao giờ thấy điều gì đó quá ngu ngốc. Chặn cookie của bên thứ ba để bảo mật, tại sao không, nhưng hãy để nó vượt qua nếu được mã hóa? An ninh ở đâu bây giờ?

Tôi hy vọng bài đăng này sẽ giúp được ai đó và một lần nữa, nếu tôi bỏ lỡ điều gì đó và tôi thật ngốc, xin hãy giáo dục tôi!

Điều này cuối cùng đã làm việc cho tôi (sau rất nhiều sự hối hả và tạo ra một số chính sách bằng cách sử dụng trình tạo chính sách của IBM). Bạn có thể hạ cấp trình tạo chính sách tại đây: http://www.softpedia.com/get/Security/Security-Related/P3P-Policy-Editor.shtml

Tôi không thể tải xuống trình tạo từ trang web chính thức của IBM nữa.

Tôi đã tạo các tệp này trong thư mục gốc của Ứng dụng web của mình

/index.php
/w3c/policy.html (Human readable format)
/w3c/p3p.xml
/w3c/policy.p3p

1. Index.php: Chỉ cần gửi một tiêu đề bổ sung:

header('P3P: policyref="/w3c/p3p.xml", CP="ALL DSP NID CURa ADMa DEVa HISa OTPa OUR NOR NAV DEM"');

2. Nội dung của p3p.xml

<META>
    <POLICY-REFERENCES>
        <POLICY-REF about="/w3c/policy.p3p#App">
            <INCLUDE>/</INCLUDE>
            <COOKIE-INCLUDE/>
        </POLICY-REF>
    </POLICY-REFERENCES>
</META>

3. Nội dung tệp chính sách của tôi.html

<html>
<head>
<STYLE type="text/css">
title { color: #3333FF}
</STYLE>
<title>Privacy Statement for YOUR COMPANY NAME</title>
</head>
<body>
<h1 class="title">Privacy Policy</h1>
<!-- "About Us" section of privacy policy -->
<h2>About Us</h2>
<p>This is a privacy policy for YOUR COMPANY NAME.
Our homepage on the Web is located at <a href="YOURWEBSITE">
YOURWEBSITE</a>.
The full text of our privacy policy is available on the Web at 
<a href="ABSOLUTE URL OF THIS FILE">
ABSOLUTE URL OF THIS FILE</a>
This policy does not tell users where they can go to exercise their opt-in or opt-out options.
<p>We invite you to contact us if you have questions about this policy.
You may contact us by mail at the following address:
<pre>FIRSTNAME LASTNAME
YOUR ADDRESS HERE
</pre>
<p>You may contact us by e-mail at 
<a href="mailto:info@YOURMAIL.de">
info@YOURMAIL.eu</a>. 
You may call us at TELEPHONENUMBER.
<!-- "Privacy Seals" section of privacy policy -->
<h2>Dispute Resolution and Privacy Seals</h2>
<p>We have the following privacy seals and/or dispute resolution mechanisms.
If you think we have not followed our privacy policy in some way, they can help you resolve your concern.
<ul>
<li>
<b>Dispute</b>:
Contact us for further information
</ul>
<!-- "Additional information" section of privacy policy -->
<h2>Additional Information</h2>
<p>
This policy is valid for 1 day from the time that it is loaded by a client.
</p>
<!-- "Data Collection" section of privacy policy -->
<h2>Data Collection</h2>
<p>P3P policies declare the data they collect in groups (also referred to as "statements").
This policy contains 1 data group.
<hr width="50%" align="center">
<h3>Group "App control data"</h3>
<p>We collect the following information:
<ul>
<li>HTTP cookies</li>
</ul>
<p>This data will be used for the following purposes:</p>
<ul>
<li>Completion and support of the current activity.</li>
<li>Web site and system administration.</li>
<li>Research and development.</li>
<li>Historical preservation.</li>
<li>Other purposes<p>Control Flow of the application</p></li>
</ul>
<p>This data will be used by ourselves and our agents.
<p>The data in this group has been marked as non-identifiable. This means that there is no
reasonable way for the site to identify the individual person this data was collected from.
<p>The following explanation is provided for why this data is collected:</p>
<blockquote>This cookie data is only used to control the application within an iframe (e.g. a Facebook App)</blockquote>
<!-- "Use of Cookies" section of privacy policy -->
<hr width="50%" align="center">
<h2>Cookies</h2>
<p>Cookies are a technology which can be used to provide you with tailored information from a Web site. A cookie is an element of data that a Web site can send to your browser, which may then store it on your system. You can set your browser to notify you when you receive a cookie, giving you the chance to decide whether to accept it.
<p>Our site makes use of cookies.
Cookies are used for the following purposes:
<ul>
<li>Site administration
<li>Completing the user's current activity
<li>Research and development
<li>Other
(Control Flow of the application)
</ul>
<!-- "Compact Policy Explanation" section of privacy policy -->
<hr width="50%" align="center">
<h2>Compact Policy Summary</h2>
<p>The compact policy which corresponds to this policy is:
<pre>
    CP="ALL DSP NID CURa ADMa DEVa HISa OTPa OUR NOR NAV"
</pre>
<p>The following table explains the meaning of each field in the compact policy.
<center><table width="80%" border="1" cols="2">
<tr><td align="center" valign="top" width="20%"><b>Field</b></td><td align="center" valign="top" width="80%"><b>Meaning</b></td></tr>
<tr><td align="left" valign="top" width="20%"><tt>CP=</tt></td>
<td align="left" valign="top" width="80%">This is the compact policy header; it indicates that what follows is a P3P compact policy.</td></tr>
<tr><td align="left" valign="top" width="20%"><tt>ALL</tt></td>
<td align="left" valign="top" width="80%">
Access to all collected information is available.
</td></tr>
<tr><td align="left" valign="top" width="20%"><tt>DSP</tt></td>
<td align="left" valign="top" width="80%">
The policy contains at least one dispute-resolution mechanism.
</td></tr>
<tr><td align="left" valign="top" width="20%"><tt>NID</tt></td>
<td align="left" valign="top" width="80%">
The information collected is not personally identifiable.
</td></tr>
<tr><td align="left" valign="top" width="20%"><tt>CURa</tt></td>
<td align="left" valign="top" width="80%">
The data is used for completion of the current activity.
</td></tr>
<tr><td align="left" valign="top" width="20%"><tt>ADMa</tt></td>
<td align="left" valign="top" width="80%">
The data is used for site administration.
</td></tr>
<tr><td align="left" valign="top" width="20%"><tt>DEVa</tt></td>
<td align="left" valign="top" width="80%">
The data is used for research and development.
</td></tr>
<tr><td align="left" valign="top" width="20%"><tt>HISa</tt></td>
<td align="left" valign="top" width="80%">
The data is used for historical archival purposes.
</td></tr>
<tr><td align="left" valign="top" width="20%"><tt>OTPa</tt></td>
<td align="left" valign="top" width="80%">
The data is used for other purposes.
</td></tr>
<tr><td align="left" valign="top" width="20%"><tt>OUR</tt></td>
<td align="left" valign="top" width="80%">
The data is given to ourselves and our agents.
</td></tr>
<tr><td align="left" valign="top" width="20%"><tt>NOR</tt></td>
<td align="left" valign="top" width="80%">
The data is not kept beyond the current transaction.
</td></tr>
<tr><td align="left" valign="top" width="20%"><tt>NAV</tt></td>
<td align="left" valign="top" width="80%">
Navigation and clickstream data is collected.
</td></tr>
</table></center>
<p>The compact policy is sent by the Web server along with the cookies it describes.
For more information, see the P3P deployment guide at <a href="http://www.w3.org/TR/p3pdeployment">http://www.w3.org/TR/p3pdeployment</a>.
<!-- "Policy Evaluation" section of privacy policy -->
<hr width="50%" align="center">
<h2>Policy Evaluation</h2>
<p>Microsoft Internet Explorer 6 will evaluate this policy's compact policy whenever it is used with a cookie.
The actions IE will take depend on what privacy level the user has selected in their browser (Low, Medium, Medium High, or High; the default is Medium.
In addition, IE will examine whether the cookie's policy is considered satisfactory or unsatisfactory, whether the cookie is a session cookie or a persistent cookie, and whether the cookie is used in a first-party or third-party context.
This section will attempt to evaluate this policy's compact policy against Microsoft's stated behavior for IE6.
<p><b>Note:</b> this evaluation is currently experimental and should not be considered a substitute for testing with a real Web browser.
<p><b>Satisfactory policy</b>: this compact policy is considered <em>satisfactory</em> according to the rules defined by Internet Explorer 6.
IE6 will accept cookies accompanied by this policy under the High, Medium High, Medium, Low, and Accept All Cookies settings.
</body></html>

4. Nội dung của chính sách.p3p

<?xml version="1.0"?>
<POLICIES xmlns="http://www.w3.org/2002/01/P3Pv1">
    <!-- Generated by IBM P3P Policy Editor version Beta 1.12 built 2/27/04 1:19 PM -->

    <!-- Expiry information for this policy -->
    <EXPIRY max-age="86400"/>

<POLICY
    name="App"
    discuri="ABSOLUTE URL TO policy.html"
    xml:lang="de">
    <!-- Description of the entity making this policy statement. -->
    <ENTITY>
    <DATA-GROUP>
<DATA ref="#business.name">COMPANY NAME</DATA>
<DATA ref="#business.contact-info.online.email">info@YOURMAIL.eu</DATA>
<DATA ref="#business.contact-info.online.uri">YOURWEBSITE</DATA>
<DATA ref="#business.contact-info.telecom.telephone.number">YOURPHONENUMBER</DATA>
<DATA ref="#business.contact-info.postal.organization">FIRSTNAME LASTNAME</DATA>
<DATA ref="#business.contact-info.postal.street">STREET</DATA>
<DATA ref="#business.contact-info.postal.city">CITY</DATA>
<DATA ref="#business.contact-info.postal.stateprov">STAGE</DATA>
<DATA ref="#business.contact-info.postal.postalcode">POSTALCODE</DATA>
<DATA ref="#business.contact-info.postal.country">Germany</DATA>
    </DATA-GROUP>
    </ENTITY>

    <!-- Disclosure -->
    <ACCESS><all/></ACCESS>


    <!-- Disputes -->
    <DISPUTES-GROUP>
        <DISPUTES resolution-type="service" service="YOURWEBSITE CONTACT FORM" short-description="Dispute">
            <LONG-DESCRIPTION>Contact us for further information</LONG-DESCRIPTION>
    <!-- No remedies specified -->
        </DISPUTES>
    </DISPUTES-GROUP>

    <!-- Statement for group "App control data" -->
    <STATEMENT>
        <EXTENSION optional="yes">
            <GROUP-INFO xmlns="http://www.software.ibm.com/P3P/editor/extension-1.0.html" name="App control data"/>
        </EXTENSION>

    <!-- Consequence -->
    <CONSEQUENCE>
This cookie data is only used to control the application within an iframe (e.g. a Facebook App)</CONSEQUENCE>

    <!-- Data in this statement is marked as being non-identifiable -->
    <NON-IDENTIFIABLE/>

    <!-- Use (purpose) -->
    <PURPOSE><admin/><current/><develop/><historical/><other-purpose>Control Flow of the application</other-purpose></PURPOSE>

    <!-- Recipients -->
    <RECIPIENT><ours/></RECIPIENT>

    <!-- Retention -->
    <RETENTION><no-retention/></RETENTION>

    <!-- Base dataschema elements. -->
    <DATA-GROUP>
    <DATA ref="#dynamic.cookies"><CATEGORIES><navigation/></CATEGORIES></DATA>
    </DATA-GROUP>
</STATEMENT>

<!-- End of policy -->
</POLICY>
</POLICIES>

Trong Rails tôi đang sử dụng loại đá quý này: https://github.com/merchii/rack-iframe Về cơ bản, nó đặt một tập hợp các chữ viết tắt mà không có tệp tham chiếu: https://github.com/merchii/rack-iframe/blob/master /lib/rack/iframe.rb#L8

Nó rất dễ cài đặt khi bạn không quan tâm đến ý nghĩa của công cụ p3p.

Đối với bất kỳ ai đang cố gắng để Chính sách nhỏ gọn P3P hoạt động với nội dung tĩnh:

Đó là chỉ có thể nếu bạn có thể gửi câu trả lời tiêu đề tùy chỉnh server-side với nội dung tĩnh.

Để được giải thích chi tiết hơn, hãy xem câu trả lời của tôi ở đây: Đặt mã P3P trong HTML

Trong Rails 3.2 tôi đang sử dụng:

class ApplicationController < ActionController::Base  

  before_filter :set_p3p  

  private  
    # for IE session cookies thru iframe  
    def set_p3p  
      headers['P3P'] = 'CP="ALL DSP COR CURa ADMa DEVa OUR IND COM NAV"'  
    end  
end  

Tôi đã nhận được điều này từ: http://dot-net-web-developer-bristol.blogspot.com/2012/04/setting-p3p-header-in-rails-session.html

Một giải pháp tốt hơn sẽ là thực hiện một cuộc gọi Ajax bên trong iframe tới trang sẽ nhận / đặt cookie ...