ฉันได้มันมาทำงาน แต่ทางออกมันซับซ้อนไปหน่อย
เกิดอะไรขึ้น
ตามที่เป็นอยู่ Internet Explorer ให้ความไว้วางใจในระดับต่ำกว่าไปยังหน้า IFRAME (IE เรียกเนื้อหา "บุคคลที่สาม" นี้) หากหน้าเว็บภายใน IFRAME ไม่มีนโยบายความเป็นส่วนตัวคุกกี้ของมันจะถูกบล็อก (ซึ่งระบุด้วยไอคอนรูปดวงตาในแถบสถานะเมื่อคุณคลิกที่หน้านั้นมันจะแสดงรายการ URL ที่ถูกบล็อก)
(ที่มา: piskvor.org )
ในกรณีนี้เมื่อคุกกี้ถูกบล็อกจะไม่มีการส่งตัวระบุเซสชันและสคริปต์เป้าหมายจะพ่นข้อผิดพลาด 'ไม่พบเซสชัน'
(ฉันได้ลองตั้งค่าตัวระบุเซสชันลงในแบบฟอร์มและโหลดจากตัวแปร POST สิ่งนี้น่าจะใช้ได้แต่ด้วยเหตุผลทางการเมืองฉันไม่สามารถทำเช่นนั้นได้)
มันเป็นไปได้ที่จะทำให้หน้าภายใน IFRAME เชื่อถือได้มากขึ้น: ถ้าหน้าภายในจะส่งหัว P3P นโยบายส่วนบุคคลที่เป็นที่ยอมรับของ IE คุกกี้จะได้รับการยอมรับ
วิธีแก้ปัญหา
สร้างนโยบาย p3p
เป็นจุดเริ่มต้นที่ดีคือW3C กวดวิชา ฉันได้อ่านไปแล้วดาวน์โหลดตัวแก้ไขนโยบายความเป็นส่วนตัวของ IBMแล้วฉันก็สร้างนโยบายความเป็นส่วนตัวขึ้นที่นั่นและตั้งชื่อเพื่ออ้างอิงโดย (นี่คือpolicy1
)
หมายเหตุ : ณ จุดนี้คุณจำเป็นต้องค้นหาว่าไซต์ของคุณมีนโยบายความเป็นส่วนตัวหรือไม่และสร้างขึ้นไม่ว่าจะเป็นการรวบรวมข้อมูลผู้ใช้ข้อมูลประเภทใดมันทำกับใครใครมีสิทธิ์เข้าถึง ฯลฯ คุณจำเป็นต้องค้นหาข้อมูลนี้และคิดเกี่ยวกับมัน เพียงตบแท็กเข้าด้วยกันบางแท็กจะไม่ตัดออก ขั้นตอนนี้ไม่สามารถทำได้อย่างหมดจดในซอฟต์แวร์และอาจเป็นเรื่องทางการเมืองสูง (เช่น "เราควรขายสถิติการคลิกของเราหรือไม่")
(เช่น "ไซต์ดำเนินการโดย ACME Ltd. ใช้ตัวระบุต่อเซสชันแบบไม่ระบุชื่อสำหรับการดำเนินการรวบรวมข้อมูลผู้ใช้เฉพาะเมื่อได้รับอนุญาตอย่างชัดเจนและเพื่อวัตถุประสงค์ต่อไปนี้เท่านั้นข้อมูลจะถูกเก็บไว้ตราบเท่าที่จำเป็นเท่านั้น บริษัท ของเรา สามารถเข้าถึงได้ ฯลฯ ฯลฯ ")
(เมื่อแก้ไขด้วยเครื่องมือนี้เป็นไปได้ที่จะดูข้อผิดพลาด / การละเว้นในนโยบายนอกจากนี้ยังมีประโยชน์มากคือแท็บ "นโยบาย HTML": ที่ด้านล่างจะมี "การประเมินนโยบาย" - ตรวจสอบอย่างรวดเร็วว่านโยบายจะถูกบล็อกหรือไม่ โดยการตั้งค่าเริ่มต้นของ IE)
บรรณาธิการส่งออกไปยังไฟล์. mp3p ซึ่งเป็นการนำเสนอ XML ของนโยบายข้างต้น นอกจากนี้ยังสามารถส่งออก "รุ่นกะทัดรัด" ของนโยบายนี้
เชื่อมโยงไปยังนโยบาย
จากนั้นhttp://example.com/w3c/p3p.xml
จำเป็นต้องใช้ไฟล์อ้างอิงนโยบาย ( ) (ดัชนีนโยบายความเป็นส่วนตัวที่ไซต์ใช้):
<META>
<POLICY-REFERENCES>
<POLICY-REF about="/w3c/example-com.p3p#policy1">
<INCLUDE>/</INCLUDE>
<COOKIE-INCLUDE/>
</POLICY-REF>
</POLICY-REFERENCES>
</META>
<INCLUDE>
แสดง URI ของทั้งหมดที่จะใช้นโยบายนี้ (ในกรณีของฉันเว็บไซต์ทั้งหมด) ไฟล์นโยบายที่ฉันส่งออกจากตัวแก้ไขถูกอัปโหลดไปยังhttp://example.com/w3c/example-com.p3p
ส่งส่วนหัวขนาดกะทัดรัดพร้อมการตอบกลับ
ฉันได้ตั้งค่าเว็บเซิร์ฟเวอร์ที่ example.com เพื่อส่งส่วนหัวขนาดกะทัดรัดพร้อมการตอบกลับดังนี้:
HTTP/1.1 200 OK
P3P: policyref="/w3c/p3p.xml", CP="IDC DSP COR IVAi IVDi OUR TST"
// ... other headers and content
policyref
เป็น URI ที่เกี่ยวข้องกับไฟล์อ้างอิงนโยบาย (ซึ่งจะอ้างอิงนโยบายความเป็นส่วนตัว) CP
เป็นการนำเสนอนโยบายแบบย่อ โปรดทราบว่าการรวมกันของส่วนหัว P3P ในตัวอย่างอาจไม่สามารถใช้ได้ในเว็บไซต์ของคุณ ส่วนหัว P3P ของคุณต้องแสดงนโยบายความเป็นส่วนตัวของคุณอย่างแท้จริง!
กำไร!
ในการกำหนดค่านี้ Evil Eye ไม่ปรากฏคุกกี้จะถูกบันทึกแม้ใน IFRAME และแอปพลิเคชันทำงาน
แก้ไข: จะไม่ทำอะไรนอกจากว่าคุณชอบที่จะปกป้องจากการถูกฟ้องร้อง
มีหลายคนแนะนำว่า "เพียงตบแท็กบางส่วนลงในส่วนหัว P3P ของคุณจนกว่าตาชั่วร้ายจะยอมแพ้"
แท็กไม่เพียง แต่เป็นบิตเท่านั้น แต่ยังมีความหมายในโลกแห่งความเป็นจริงและการใช้งานนั้นให้ความรับผิดชอบในโลกแห่งความจริง !
ตัวอย่างเช่นการแกล้งทำเป็นว่าคุณไม่เคยรวบรวมข้อมูลผู้ใช้อาจทำให้เบราว์เซอร์มีความสุข แต่ถ้าคุณรวบรวมข้อมูลผู้ใช้จริง P3P จะขัดแย้งกับความเป็นจริง ธรรมดาและเรียบง่ายคุณตั้งใจโกหกผู้ใช้ของคุณและนั่นอาจเป็นพฤติกรรมอาชญากรรมในบางประเทศ เช่นเดียวกับ "ไปเข้าคุกอย่าเก็บเงิน 200 ดอลลาร์"
ตัวอย่างเล็ก ๆ น้อย ๆ ( ดู p3pwriter สำหรับชุดเต็มของแท็ก ):
- น้อย : "เว็บไซต์ไม่ได้รวบรวมข้อมูลที่ระบุ" (ทันทีที่มีการปรับแต่งการเข้าสู่ระบบหรือการรวบรวมข้อมูลใด ๆ (***** Analytics ทุกคน?) คุณต้องรับทราบใน P3P ของคุณ)
- STP : ข้อมูลจะถูกเก็บไว้เพื่อตอบสนองวัตถุประสงค์ที่ระบุไว้ ข้อมูลนี้ต้องถูกยกเลิกในเวลาเร็วที่สุดเท่าที่จะเป็นไปได้ ไซต์ต้องมีนโยบายการเก็บข้อมูลที่สร้างตารางเวลาทำลาย นโยบายการเก็บรักษาจะต้องรวมอยู่ในหรือเชื่อมโยงจากนโยบายความเป็นส่วนตัวที่มนุษย์สามารถอ่านได้ของเว็บไซต์ "(ดังนั้นหากคุณส่ง
STP
แต่ไม่มีนโยบายการเก็บข้อมูลคุณอาจกระทำการฉ้อโกง
ฉันไม่ได้เป็นทนายความ แต่ฉันไม่เต็มใจที่จะไปศาลเพื่อดูว่าส่วนหัว P3P ถูกจริงๆผลผูกพันตามกฎหมายหรือถ้าคุณสามารถสัญญาอะไรของผู้ใช้จริงโดยไม่เต็มใจที่จะให้เกียรติสัญญาของคุณ