P3P头的副作用

最新推荐文章于 2024-07-01 00:44:00 发布
最新推荐文章于 2024-07-01 00:44:00 发布
阅读量673 收藏 2
点赞数
分类专栏: web安全 # 白帽子讲WEB安全 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Code_Aape/article/details/107350536
版权
P3PHeader是W3C制定的隐私标准,用于跨域访问控制,如广告页面。它影响浏览器对第三方Cookie的拦截,可能削弱对CSRF攻击的防御。IE和Safari等浏览器默认拦截第三方Cookie,但P3PHeader可改变此行为。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

P3P Header是W3C制定的一项关于隐私的标准,全称The Platform for Privacy Preferences

主要应用

主要用于类似广告等需要跨域访问的页面。

P3P引发的安全问题

  • 本来一些浏览器(如IE,Safari)是拦截第三方Cookie发送的,一定程度上降低了CSRF的威力。
  • 但是如果网站返回给浏览器的HTTP头中包含有P3P头,则在某种程度上来说,将允许浏览器发送第三方Cookie,即使是IE下的<iframe> <script>标签。
  • P3P头设置之后,对于Cookie的影响将扩大到整个域中的所有页面,因为Cookie是以域和path位单位的,这并不符合“最小权限”原则。
  • P3P头目前应用广泛,所以不能依赖于浏览器对Cookie的拦截策略,在防御CSRF的时候不能心存侥幸
【YOLOv8十万长文优化】独家魔改优化技巧+附20余个源码手把手教程
cv君的博客
08-01 2万+
【YOLOv8十万长文全解】v8 v9通用。独家魔改优化技巧+附20余个源码手把手教程; Hello,大家好,我是cv君,最近开始在空闲之余,经常更新文章啦!除目标检测、分类、分隔、姿态估计等任务外,还会涵盖图像增强领域,如超分辨率、画质增强、降噪、夜视增强、去雾去雨、ISP、海思高通成像ISP等、AI-ISP、还会有多模态、文本nlp领域、视觉语言大模型、lora、chatgpt等理论与实践文章更新,更新将变成一周2-3更,一个月争取10篇,重回创作巅峰
java p3p header_用P3P header解决iframe跨域访问cookie(转)
weixin_36382907的博客
02-13 407
Asp.net cookie跨域解决方法,一下午烦死了,终于找到解决方法了谢谢这位大牛,收下了目前在整合几个应用时,遇到了iframe无法获取cookie(session)的问题,经过google,终于把这个问题解决了,现在记录一下。我的需求是这样的。有一个应用是用.net开发的,主要是控制用户登录,用户访问权限的,部署在上海机房。现在就叫A应用吧还有一个应用是用java开发,主要是具体业务的操作...
P3P的那些事
qq_45434762的博客
03-01 1006
什么是P3PP3P(The Platform forPrivacy Prefrences Project)是一种被称为个人隐私安全平台项目的标准,能够保护在线隐私权,使Internet冲...
jsp中设置http的P3P实现跨域设置cookie
zdy19900811的专栏
11-09 1147
 将这段代码放在jsp部即可:
简单介绍 P3P 技术
蝈蝈俊.net
11-27 1万+
以 Internet Explorer 为例,默认情况下,IE的隐私策略如下图所设: (图一) 请注意其中这一条:阻止保存可用来联系您的信息而没有您的明确同意的第三方Cookie。 下面我们首先来演示一下,这一条起作用的情况: 站点 b.com 有这样一个网页: http://b.com/WebApp_P3P/p3p.htm  这个页面的源代码如下: !DOCTYPE html PUB
p3p http header java,P3P Header解决Cookie跨域的问题
weixin_30909805的博客
03-12 376
P3PP3P是一種被稱為個人隱私安全平臺項目(the Platform for Privary Preferences)的標準,能夠保護在線隱私權,使Internet衝浪者可以選擇在瀏覽網頁時,是否被第三方收集並利用自己的個人信息。如果一個站點不遵守P3P標準的話,那麼有關它的Cookies將被自動拒絕,並且P3P還能夠自動識破多種Cookies的嵌入方式。P3P是由全球資訊聯盟網所開發的。例子當...
P3P Header解决Cookie跨域的问题
01-21
P3P   P3P是一種被稱為個人隱私安全平臺項目(the Platform for Privary Preferences)的標準,能夠保護在線隱私權,使Internet衝浪者可以選擇在瀏覽網頁時,是否被第三方收集並利用自己的個人信息。如果一個站點不遵守P3P標準的話,那麼有關它的Cookies將被自動拒絕,並且P3P還能夠自動識破多種Cookies的嵌入方式。P3P是由全球資訊聯盟網所開發的。 例子   當頁面存在iframe時,想要獲取iframe框架裏面的cookie,就要在iframe相應的動態頁面裏面添加P3P Header信息,否則在IE下獲取不到。因為IE有安全策略,限制頁面不
C++ STL源码剖析——P1、P2、P3、P4、P5、P6、P7
mabaizi的博客
02-01 441
不想写摘要
P3M1 |= 0x03较P3M1 =0x03的好处
最新发布
05-09
- **优先使用位操作**(`|=`、`&=`):在动态修改寄存器时避免副作用,如引用[4]中通过宏定义增强可读性。 - **仅在初始化或明确需要覆盖时使用赋值**(`=`):如引用[1]中统一配置准双向模式。 --- ### 相关问题...
操作系统——P/V操作例题
m0_73181229的博客
07-01 719
操作系统一些常见的pv操作场景及其操作流程
MCS-51单片机P0口扩展技术研究
02-19
其中,P2.7决定了74HC244的地址,0000H-7FFFH(共32K)地址都可以访问这个单元,这就是用线选法所带来的副作用。通常可选择其中的最高地址作为这个芯片的地址来写程序,如这个芯片的地址是7FFFH。但这仅仅是一种习惯...
p3p php 单点登录,p3p header在单点登录的cookie跨域中的应用
weixin_30767365的博客
03-27 225
场景一:A网站全站均为UTF-8编码,B网站全站为GB2312编码。A网站提供一段JS代码供B网站调用,该代码会动态生成一个FORM表单,以收集提交上来的数据。B网站此时开始提交数据,但提交上来的中文均为乱码 。现象的产生是由于二个网站编码不一致而导致的,一般情况下使二个网站的编码一致即可。如果无法统一编码该怎么办?FORM有一个accept-charset属性...测试成功,但在IE下不成功,需...
java p3p header_是否忽略Cors Access-Control-Allow-Headers通配符?
weixin_39559079的博客
02-24 254
那些CORS不支持 * 作为值,唯一的方法是用这个替换 * :Accept, Accept-CH, Accept-Charset, Accept-Datetime, Accept-Encoding, Accept-Ext, Accept-Features, Accept-Language, Accept-Params, Accept-Ranges, Access-Control-Allow-Cr...
php利用P3P实现跨域设置cookie
lhorse003的博客
05-21 2883
在开发中,我们碰到的跨域主要还是纠结在IE,页面中的IFRAME或者FRAME或者JS跨域的时候,IE有安全策略限制页面不带cookie,但是如果我们加上P3P,就没有这策略的限制。这也是P3P来突破跨域的可行前提,其实在firefox chorme类浏览器里面是没有这个限制的。 首先我们了解一下P3P是什么? P3P(Platform for Privacy Preferences)是W3C
跨域(cross-domain)访问 cookie (读取和设置)
冯友华的专栏
06-29 549
Passport 一方面意味着用一个帐号可以在不同服务里登录,另一方面就是在一个服务里面登录后可以无障碍的漫游到其他服务里面去。坦白说,目前 sohu passport 在这一点实现的很烂(不过俺的工作就是要把它做好啦,hehe) 搜狐的 SSO 需求比较麻烦,因为它旗下有好多域名:sohu.com、chinaren.com、sogou.com、focus.cn、17173.com、go2map....
通过P3P实现跨域设置cookie
weixin_30894389的博客
02-06 261
PHP的setcookie函数可以设置域,但是只能在当前域内,如果出现多域可由如下办法处理:实现原理:www.b.com/set_cookie.php 在b域名下设置a域名的cookie <script src="http://www.a.com/set_cookie.php"></script> www.a.com/get_cookie.php 在...
PHP利用P3P实现跨域
热门推荐
JJmaiz-麦嘉俊-Concentrate on Web
09-24 1万+
有别于JS跨域、IFRAME跨域等的常用处理办法,还可以利用P3P来实现跨域。 P3P是什么 P3P(Platform for Privacy Preferences)是W3C公布的一项隐私保护推荐标准,以为用户提供隐私保护。 P3P标准的构想是:Web 站点的隐私策略应该告之访问者该站点所收集的信息类型、信息将提供给哪些人、信息将被保留多少时间及其使用信息的方式,如站点应做诸如
通过设置P3P来实现跨域访问COOKIE
churujianghu的专栏
11-30 569
<br />网上看了别人介绍的一片文章,说使用P3P可以完成跨域COOKIE操作,感觉很COOL,不过没有提供源代码,我胡乱写了一下,大家看看。<br />实 际工作中,类似这样的要求很多,比如说,我们有两个域名,我们想实现在一个域名登录后,能自动完成另一个域名的登录,也就是PASSPORT的功能。<br />我 只写一个大概,为了测试的方便,先编辑hosts文件,加入测试域名(C:/WINDOWS/system32/drivers/etc/hosts)<br />127.0.0.1 http://www.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值