ASP.NET 跨域与 Session 失效问题的解决办法
在 ASP.NET 开发中,跨域和 Session 失效问题是一个常见的问题,特别是在使用 iframe 嵌入远程应用时。今天,我们来讨论这个问题的解决办法。
什么是跨域和 Session 失效?
--------------------------------
跨域是指第三方 Session/Cookie,也就是在当前访问的网站中加载(嵌入)另外第三方的网站代码,例如促销广告,那么第三方网站也会在访客的计算机上添加 Session/Cookie。第一方 Session/Cookie 指的是访客当前访问的网站给访客的浏览器设置的 Session/Cookie。
在 ASP.NET 开发中,Session 是基于 Cookie 的,客户端在第一次与服务器建立会话时,会分配给客户端一个随机的 sessionId,並存于客户端 Cookie 中,然后在之后的请求中,会带上这个 Cookie,如果在客户端找不到这样的 Cookie,那么服务器就会重新分配一个。
问题描述
----------
在开发讯息在线产品时,发现 IE 浏览器(v7/8)都无法登录(总是提示验证码不匹配错误),而其他浏览器无此问题(firefox、百度等)。因此可以断定这和浏览器脱不了干系。
初步分析:服务器端日志中显示 sessionId 一直在变化,每次请求都会产生一个全新的 sessionId。显然这是导致无法登录的直接唯一原因,如果解决这个问题则可正常登录。
深入分析:出于隐私安全的考虑,IE 会丢失 Iframe 中的 Cookie,IE6/IE7 支持的 P3P(Platform for Privacy Preferences Project specification)协议默认阻止第三方无隐私安全声明的 Cookie,Firefox、Chrome 不存在此问题。
解决办法
----------
要解决这个问题就是要在请求时添加“P3P”协议。那么如何实现呢?在框架页面加入如下代码:
```
HttpContext.Current.Response.AddHeader("P3P","CP='IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT'");
```
这将告诉 IE 浏览器,服务器支持 P3P 协议,并允许第三方 cookie。
另外,在 ASP.NET 应用程序中,我们可以使用 HttpContext.Current.Sessioninstead of Session,以避免 Session 失效问题。
结论
----------
在 ASP.NET 开发中,跨域和 Session 失效问题是一个常见的问题,但通过添加“P3P”协议和使用 HttpContext.Current.Session,我们可以解决这个问题,从而确保应用程序的正常运行。
相关知识点:
* 跨域和 Session 失效问题的定义和原因
* IE 浏览器的 P3P 协议和隐私安全机制
* ASP.NET 中 Session 的工作机制
* 使用 HttpContext.Current.Session 来避免 Session 失效问题
* 添加“P3P”协议来解决跨域和 Session 失效问题
