microsoft internet habilitar enable active activar security internet-explorer iframe cookies cross-domain

security - internet - Las cookies de sesión IE 11 de primera parte se pierden en iframe



enable javascript internet explorer 11 (4)

Encontramos un problema similar con Internet Explorer 11, donde la cookie de sesión desapareció luego de una redirección sobre https.

La cadena de solicitud se veía así:

solicitud inicial a / -> conjunto de cookies de sesión -> redirigir a una URL externa -> redirigir hacia atrás (cookie de sesión perdida)

Nuestro problema se debió a un nombre de host no válido de acuerdo con RFC952 , hemos subrayado en nuestra URL del servidor de prueba. Parece que Internet Explorer silenciosamente deja caer la cookie de sesión al redirigir sobre https si la URL no se ajusta a RFC952. Cuando se usan guiones en lugar de guiones bajos, todo funcionó como se esperaba.

La solución original se encontró en la sección de Actualización 2 de este asp.net blogpost de 2004. here. boleto de error de Microsoft here.

Espero que esto ayude a alguien.

Tenemos un sitio (www.example.com) que envía a los usuarios a una serie de páginas de terceros para verificar los detalles de pago, lo cual hacemos en un iframe. Inicialmente, una página local de www.example.com se carga en el iframe y el usuario se redirige a la URL de terceros. Una vez que el usuario completa los pasos de terceros, se los redirecciona 302 a una página en nuestro sitio (www.example.com) dentro del iframe.

Esto funciona en todos los navegadores que hemos probado, excepto en IE 11, donde parece que se pierden nuestras cookies. Hemos verificado esto tanto en Windows 7 como en 8.1, en los modos de escritorio y "Metro", y el problema es en todas las versiones.

Cuando un usuario navega por nuestro sitio, configuramos una cookie de sesión, que se envía correctamente a la página de la primera parte que se carga inicialmente en el iframe. Una vez que el usuario ha revisado algunas páginas de terceros en este iframe, la cookie de sesión no se envía con la siguiente solicitud.

Si establecemos la configuración de privacidad de IE 11 en el valor más bajo, este problema desaparece y las cosas funcionan como se espera.

Todas las posibles soluciones que he presentado hasta ahora están relacionadas con los encabezados P3P. Tenemos un encabezado P3P válido y correcto y una configuración de archivo de política XML, y este problema solo ocurre en IE 11.

Actualización: tenemos algunas otras cookies establecidas usando JS. Todos estos persisten según lo esperado. Las diferencias son la fecha de caducidad (1 año para las cookies JS, 1 mes para la cookie de sesión), el dominio (explícitamente "example.com" para las cookies JS, vacío para la cookie de sesión) y si son "HTTP only" (falso para JS cookies, cierto para cookie de sesión).

He intentado configurar todas estas opciones según las cookies de JS para la cookie de sesión, pero no hizo ninguna diferencia.

Actualización 2: después de más pruebas, no he podido crear un caso de prueba que vuelva a crear este problema. Sin embargo, todas las cookies adicionales que trato de probar en el código en vivo también parecen estar rotas, incluso si están configuradas exactamente con el mismo código que las cookies de JS que funcionan. En breve; Todavía no he encontrado ningún patrón en las cookies que funcionen y las que no.

Una cosa potencialmente interesante a tener en cuenta es que las cookies no se eliminan, simplemente no se envían a la solicitud final. Si se carga otra página, las cookies reaparecen mágicamente y se envían; lo que me lleva a creer que esto es un error que rodea iframes y P3P.

Actualización 3 (día 3): el manejo de IE 11 de las cookies continúa confundiéndome. Cuanto más viajo en el laberinto de Microsoft, más perdido me vuelvo entre sus paredes cambiantes. Y hay fantasmas aquí. Fragmentos de políticas de seguridad medio soñadas que se han entretejido en una criatura etérea, que me rastrea y se burla de mí en cada movimiento. Al principio, me quedé helado, aterrorizado, horrorizado por la forma apenas perceptible que se perdía de vista, pero a cada hora que pasa me da más consuelo el simple conocimiento de su proximidad. ¿Podría ser esta la misma bestia a la que me enviaron aquí para enfrentarme? ¿Cómo podría matar a mi único compañero en esos momentos?

He notado que las cookies de sesión a menudo se pierden cuando el modo de compatibilidad con IE7 está activado para una página nueva. Supongo que lo mismo podría aplicarse al iframe. ¿El iframe está enviando un valor de encabezado X-UA-Compatible que es diferente de la página padre, o diferente a la anterior en la sesión? Al igual que quizás tu sesión comenzó con IE = edge, y la página iframe lo establece en IE = 7. Si es así, parece que IE genera un nuevo PID de IE para las páginas del modo de compatibilidad y las cookies de sesión a menudo (pero parece que no se transfiere).

Tengo el mismo problema que se menciona en este tema.

Nuestro sitio se coloca en un iframe y usa session para cookie (asp.net_session). Mientras navega en el sitio no hay problema (las cookies están funcionando y se adjuntan a los encabezados de las solicitudes). Pero cuando redirigimos al cliente a otro sitio web (othersite.com), entonces othersite.com redirige al cliente a nuestro dominio y lo fuerza a abrir como "_top", el navegador no envía las cookies con las solicitudes para que perdamos la sesión de los clientes. Este problema solo ocurrió en IE.

¿Qué puedes aconsejar para solucionar este problema?

Verifique sus Opciones de Internet en IE11. Herramientas> Opciones de Internet> Privacidad> Avanzado

Tal vez deberías anular eso y habilitar "Permitir siempre cookies de sesión".