iframe跨域session丢失问题

哎呀，在做项目的时候，碰到一个很棘手的问题。在一个应用中通过iframe的方式嵌入另一web应用，但是session中明明放了值，但是就是死活获取不到。几经周折，终于皇天不负有心人，总算找到了关键命脉所在。

最近在做一个系统(A)，需要在系统(A)中集成目前现存系统(B)的功能。

当然，系统(B)功能在访问时做了登陆限制。(一般性都是：系统登陆后把userId放入session中，在具体的功能页面加入session中userId的判断，

如果session中userId不存在，则跳到登陆页，否则继续加载并正常显示功能。)

那么，在系统(A)中要访问系统(B)的功能无非是要绕过系统(B)的登陆。(一般的做法是先跳转到系统(B)中的一个页面，在这个页面里将userId塞入session中，

再自动跳转到实际要访问的功能页面)

以上做法，在不使用框架结构时，是可行的，确切的说是很简单的。

但是如果，系统(A)使用了框架结构，即系统(B)中的功能页面要嵌入到系统(A)的框架中,则会出现一些意想不到的问题，

确切说是系统(B)跳转到了登陆页面，session丢失了。

为什么会这样呢？

因为应用需求在一个页面的不同frame下面访问不同的域，结果造成了session丢失。

问题根源:

IE6/IE7支持的P3P(Platform for Privacy Preferences Project (P3P) specification)协议默认阻止第三方无隐私安全声明的cookie，Firefox目前还不支持P3P安全特性，firefox中自然也不存在此问题了。Mircosoft对此的具体描述可以参见 Privacy in Internet Explorer 6

解决办法是在要嵌入的内容中(iframe指向的站点)输出P3P的主机头声明：

php:

header('P3P:CP="IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT"');

https://www.doczj.com/doc/e512292668.html,:

HttpContext.Current.Response.AddHeader("p3p", "CP=\""IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT\""")

jsp:

response.setHeader("P3P","CP='IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT'")

ColdFusion:

jQuery中的Ajax几种请求方法

jQuery确实是一个挺好的轻量级的JS框架，能帮助我们快速的开发JS应用，并在一定程度上改变了我们写JavaScript代码的习惯。 废话少说，直接进入正题，我们先来看一些简单的方法，这些方法都是对jQuery.ajax()进行封装以方便我们使用的方法，当然，如果要处理复杂的逻辑，还是需要用到jQuery.ajax()的(这个后面会说到). 1. load( url, [data], [callback] ) ：载入远程HTML 文件代码并插入至DOM 中。 url (String) : 请求的HTML页的URL地址。 data (Map) : (可选参数) 发送至服务器的key/value 数据。 callback (Callback) : (可选参数) 请求完成时(不需要是success的)的回调函数。 这个方法默认使用GET 方式来传递的，如果[data]参数有传递数据进去，就会自动转换为POST方式的。jQuery 1.2 中，可以指定选择符，来筛选载入的HTML 文档，DOM 中将仅插入筛选出的HTML 代码。语法形如"url #some > selector"。 这个方法可以很方便的动态加载一些HTML文件，例如表单。 示例代码： $(".ajax.load").load("[url]https://www.doczj.com/doc/e512292668.html,/QLeelulu/archive/2008/03/30/1130270.html[/url] .post", function (responseText, textStatus, XMLHttpRequest){ this;//在这里this指向的是当前的DOM对象，即$(".ajax.load")[0] //alert(responseText);//请求返回的内容 //alert(textStatus);//请求状态：success，error //alert(XMLHttpRequest);//XMLHttpRequest对象 }); 这里将显示结果。 注：不知道为什么URL写绝对路径在FF下会出错，知道的麻烦告诉下。下面的get()和post()示例使用的是绝对路径，所以在FF下你将会出错并不会看到返回结果。还有get()和post()示例都是跨域调用的，发现传上来后没办法获取结果，所以把运行按钮去掉了。 2. jQuery.get( url, [data], [callback] )：使用GET方式来进行异步请求 参数： url (String) : 发送请求的URL地址. data (Map) : (可选) 要发送给服务器的数据，以Key/value 的键值对形式表示，会做为QueryString附加到请求URL中。 callback (Function) : (可选) 载入成功时回调函数(只有当Response的返回状态是success才是调用该方法)。 这是一个简单的GET 请求功能以取代复杂$.ajax 。请求成功时可调用回调函数。如果需要在出错时执行函数，请使用$.ajax。示例代码： $.get("./Ajax.aspx", {Action:"get",Name:"lulu"}, function (data, textStatus){ //返回的 data 可以是 xmlDoc, jsonObj, html, text, 等等. this; // 在这里this指向的是Ajax请求的选项配置信息，请参考下图

jQuery Ajax 全解析(.ajax .post .get)

jQuery Ajax 全解析【.ajax .post .get】 1. load( url, [data], [callback] ) ：载入远程 HTML 文件代码并插入至 DOM 中。 url (String) : 请求的HTML页的URL地址。 data (Map) : (可选参数) 发送至服务器的 key/value 数据。 callback (Callback) : (可选参数) 请求完成时(不需要是success的)的回调函数。 这个方法默认使用 GET 方式来传递的，如果[data]参数有传递数据进去，就会自动转换为POST方式的。jQuery 1.2 中，可以指定选择符，来筛选载入的 HTML 文档，DOM 中将仅插入筛选出的 HTML 代码。语法形如 "url #some > selector"。 这个方法可以很方便的动态加载一些HTML文件，例如表单。 示例代码： $(".ajax.load").load("https://www.doczj.com/doc/e512292668.html,/QLeelulu/archive/2008/03 /30/1130270.html .post", function (responseText, textStatus, XMLHttpRequest){ this;//在这里this指向的是当前的DOM对象，即 $(".ajax.load")[0] //alert(responseText);//请求返回的内容 //alert(textStatus);//请求状态：success，error //alert(XMLHttpRequest);//XMLHttpRequest对象 }); 注：不知道为什么URL写绝对路径在FF下会出错，知道的麻烦告诉下。下面的get()和post()示例使用的是绝对路径，所以在FF下你将会出错并不会看到返回结果。还有get()和post()示例都是跨域调用的，发现传上来后没办法获取结果，所以把运行按钮去掉了。 2. jQuery.get( url, [data], [callback] )：使用GET方式来进行异步请求 参数： url (String) : 发送请求的URL地址.

aspnet集群中保持session状态

https://www.doczj.com/doc/e512292668.html,集群中保持session状态 https://www.doczj.com/doc/e512292668.html,提供了Session对象，从而允许程序员识别、存储和处理同一个浏览器对象对服务器上某个特定网络应用程序的若干次请求的上下文信息。Session对应浏览器与服务器的同一次对话，在浏览器第一请求网络应用程序的某个页面时，服务器会触发Session_onStart 事件；在对话超时或者被关闭的时候会触发Session_onEnd 事件。程序员可以在代码中响应这两个事件来处理与同一次对话相关的任务，如开辟和释放该次对话要使用的资源等。 在https://www.doczj.com/doc/e512292668.html,的程序中要使用Session对象时，必须确保页面的@page指令中EnableSessionState属性是True或者Readonly，并且在web.config文件中正确的设置了SessionState属性。 https://www.doczj.com/doc/e512292668.html,中Session的状态保持是由web.config文件中的标记下的标记的mode属性来决定的。该属性有四种可能的值：Off、Inproc、StateServer 和SQLServer. 设为Off会禁用Session. Inproc是缺省的设置,这种模式和以前的ASP的会话状态的方法是类似的,会话的状态会被保存在https://www.doczj.com/doc/e512292668.html,进程中，它的优点是显而易见的：性能。进程内的数据访问自然会比夸进程的访问快。然而，这种方法Session的状态依赖于https://www.doczj.com/doc/e512292668.html,进程，当IIS进程崩溃或者正常重起启时，保存在进程中的状态将丢失。 为了克服Inproc模式的缺点，https://www.doczj.com/doc/e512292668.html,提供了两种进程外保持会话状态的方法。 https://www.doczj.com/doc/e512292668.html,首先提供了提供了一个Windows服务：ASPState,这个服务启动后，https://www.doczj.com/doc/e512292668.html,应用程序可以将mode属性设置为“S t ateServer”,来使用这个Windows服务提供的状态管理方法。除了在web.config文件中设置mode属性为StateServer外，还必须设置运行StateServer服务器的IP地址和端口号.如果在IIS所在的机器运行StateServer则IP地址就是127.0.0.1,端口号通常是42424.配置如下： mode=”StateServer” stateConnectionString="tcpip=127.0.0.1:42424" 使用这种模式,会话状态的存储将不依赖IIS进程的失败或者重启,会话的状态将存储在StateServer进程的内存空间中。 另一种会话状态模式是SQLServer模式。这种模式是将会话的状态保存在SQL Server数据库中的。使用这种模式前，必须至少有一台SQL Server服务器，并在服务器中建立需要的表和存储过程。.NET SDK提供了两个脚本来简化这个工作：InstallSqlState.sql和UnInstallSqlState.sql。这两个文件存放在下面路径中： <%SYSTEMDRIVER%>\Winnt\https://www.doczj.com/doc/e512292668.html,\Framework\<%version%>\ 要配置SQL Server 服务器，可以在命令行中运行SQL Server提供的命令行工具osql.exe osql -s [server name] -u [user] -p [password]

解决js跨域问题

JSONP(JSON With Padding)，就是打包在函数调用中的的JSON（或者包裹的JSON）。AJAX和JSONP在jQuery中的调用方式看起来极为相像，千万不要被这种现象迷惑，它们本质上有很大不同。AJAX是通过XMLHttpRequest对象获取非页面内容，而JSONP是动态的添加 3. 20. 21. 22. 23. 其中get.php的代码是

jquery ajax实现跨域请求的方法

这篇文章主要介绍了jquery+ajax实现跨域请求的方法,详细介绍了前台及后台的处理方法,是非常实用的技巧,需要的朋友可以参考下 本文实例讲述了jquery+ajax实现跨域请求的方法。分享给大家供大家参考。具体实现方法如下： 说明：这里的datatype 为jsonp ；type 只能为get 前台请求代码如下： 代码如下: $.ajax({ type: get, url: , datatype: jsonp, jsonp: jsoncallback, success: function (result) { alert(result.success); alert(result.content); }, error: function (result, status) { //处理错误 } }); 后台处理代码validaccountsexists.aspx如下： 代码如下: string accounts = gamerequest.getquerystring(accounts); string jsoncallback = gamerequest.getquerystring(jsoncallback); response.contentencoding =system.text.encoding.utf8; response.contenttype = application/json; response.write(jsoncallback + ({\success\:\true\,\content\:\ + accounts + \})); response.end(); 希望本文所述对大家的jquery程序设计有所帮助。

基于springcloud分布式session共享.docx

分布式Session共享 概念 不同进程之间的session共享访问。 解决了分布式系统或者系统集群部署时出现的问题：web容器（如tomcat）管理的session都存放于本地内存中无法共享，用户每次访问的服务器可能都不一样，因此出现服务器不能识别用户、用户登录状态失效等。 解决方案： 方案一：黏性session NGINX等负载均衡网关，可以通过hash映射等方式，保证相同用户的请求会转发到同一台服务器。 优点：简单高效，易实施。 缺点：存在大量请求转发到单点服务器极端情况导致负载均衡失效；单点故障导致用户session丢失。

方案二：tomcat集群session复制 Tomcat提供集群环境下的session复制功能，以达到session共享。 优点：无开发工作量。 缺点：session复制会消耗大量服务器资源，只能应用于小规模的集群。 方案三：Spring session + redis（推荐） Spring session可以接管web容器的session管理，并可以将session 数据存放于redis等第三方存储。 优点：Spring boot/cloud项目无缝集成；可存储海量session数据；可以利用redis提供的持久化保证宕机恢复、服务升级重启用户session不丢失；很好的支持服务在线扩容！ 缺点：Spring session没有多语言版本，限制了微服务框架下不同的技术选型。 Spring boot/cloud下的使用方法： 1.增加配置redis和spring session的配置 spring.redis.host=127.0.0.1 spring.redis.password=123456 spring.redis.port=6379

jquery的ajax和getJson跨域

很多开发人员在使用jquery在前端和服务器端进行数据交互，所以很容易会认为在前端利用jquery就可以读取任何站点的数据了。近日在进行开发时，因为要和第三方公司的一个项目进行数据的共享，因为考虑多不占用服务器的资源，遂决定直接在html进行数据的读取，不走服务器端进行中转了。然后正好就遇到了浏览器端跨域访问的问题。 跨域的安全限制都是指浏览器端来说的，服务器端不存在跨域安全限制的问题。 目前浏览器端跨域访问常用的两种方法有两种： 1、通过jQuery的ajax进行跨域，这其实是采用的jsonp的方式来实现的。 jsonp是英文json with padding的缩写。它允许在服务器端生成script tags至返回至客户端，也就是动态生成javascript 标签，通过javascript callback的形式实现数据读取。 html页面端示例代码： 代码如下: //首先要引入jquery的js包 jQuery(document).ready(function(){ $.ajax({ type : "get", //jquey是不支持post方式跨域的 async:false, url : "https://www.doczj.com/doc/e512292668.html,/apitools/ajax_props.do", //跨域请求的URL dataType : "jsonp", //传递给请求处理程序，用以获得jsonp回调函数名的参数名(默认为:callback) jsonp: "jsoncallback", //自定义的jsonp回调函数名称，默认为jQuery自动生成的随机函数名 jsonpCallback:"success_jsonpCallback", //成功获取跨域服务器上的json数据后,会动态执行这个callback函数 success : function(json){ alert(json); } }); }); 服务器端示例代码，以java为例： 服务器端代码，是重点，开始以为，只要客户端通过jsonp就可以直接跨域访问，其实不然，需要服务器端的支持才行。代码如下: public void jsonpTest() throws IOException{ HttpServletRequest request = ServletActionContext.getRequest(); HttpServletResponse response = ServletActionContext.getResponse(); //根据html指定的jsonp回调函数的参数名，获取回调函数的名称 //callbackName的值其实就是：success_jsonpCallback String callbackName = (String)request.getAttribute("jsoncallback"); //简单模拟一个json字符串，实际可使用google的gson进行转换，次数通过字符串拼接 //{"name":"张三","age":28} //\是对"号进行转义 String jsonStr = "{\"name\":\"张三\",\"age\":28}"; //最终返回的数据为：success_jsonpCallback({"name":"张三","age":28}) String renderStr = callbackName+"("+jsonStr+")"; response.setContentType("text/plain;charset=UTF-8"); response.getWriter().write(renderStr); } jsonp的原理：

基于属性的访问控制(abac)的跨域访问控制面向服务的体系结构(soa)-毕设论文

理工学院 毕业设计外文资料翻译 专业：通信工程 姓名： 学号： 11L0751156 外文出处： 2012 International Conference On Computer Science And Service System 附件： 1.外文资料翻译译文；2.外文原文。

附件1：外文资料翻译译文 基于属性的访问控制(ABAC)的跨域访问控制面向服务的体系结构 (SOA) 摘要传统的基于角色的访问控制模型(RBAC)不能满足面向服务的需求架构(SOA)的分布和开放，基于属性的访问控制(ABAC)更多细粒度访问控制，更适合SOA是敞开的环境。本文提出了一种ABAC-based跨域访问控制系统中，安全域的与主题、对象属性、权力的环境属性访问决策的基础，消除集成基于SOA框架的约束RBAC，某种程度上提高了可伸缩性和可变更性的系统，解决了跨域访问控制的问题。 关键字：SOA，基于属性的访问控制(ABAC)，访问控制 1. 整体介绍 面向服务的体系结构(SOA)是一种组织方法和使用分布式资源的灵活性组织和管理资源的分布不同的管理领域[1 - 2]。越来越高的对信息集成的需求，松散耦合的、开放的SOA从业务和吸引了越来越多的关注学术界[3]。但是SOA的发展也面临着许多问题，比如安全保障，以及如何整合环境检测服务和原始数据[4]。它在特定的SOA安全系统，开放性，跨域访问安全性呈现给我们的是一个巨大的挑战。 基于角色的访问控制(RBAC)是在一个更合适的独立的安全域，不适合跨域访问。基于主体统一服务认证系统[7]，使用不同的方法来处理访问跨域访问，它解决了这个问题在跨域访问企业信息集成一定程度上，但它的基于角色的想法不能最后一个方法实现SOA的开放性和信息集成。 为了解决上述问题，本文提出了一种基于属性的访问控制(ABAC)的跨域访问控制系统，该系统应用的思想属性的访问控制跨域访问控制。该系统消除过程中的缺陷基于角色的访问控制应用于SOA的作用。 2.基于属性的访问控制(ABAC)

jQuery调用AJAX异步操作超清晰教程

JQUERY AJAX异步操作详细说明 AJAX 全称 Asynchronous JavaScript and XML（异步的 JavaScript 和XML）。它并非一种新的技术，而是以下几种原有技术的结合体。 1)使用CSS和XHTML来表示。 2)使用DOM模型来交互和动态显示。 3)使用XMLHttpRequest来和服务器进行异步通信。 4)使用javascript来绑定和调用。 通过AJAX异步技术，可以在客户端脚本与web服务器交互数据的过程中使用XMLHttpRequest对象来完成HTTP请求(Request)/应答(Response)模型： 1)不需要用户等待服务端响应。在异步派发XMLHttpRequest请求后控制 权马上就被返回到浏览器。界面不会出现白板，在得到服务器响应之前 还可以友好的给出一个加载提示。 2)不需要重新加载整个页面。为XMLHttpRequest注册一个回调函数，待 服务器响应到达时，触发回调函数，并且传递所需的少量数据。“按需 取数据”也降低了服务器的压力。 3)不需要使用隐藏或内嵌的框架。在XHR对象之前，模拟Ajax通信通常 使用hack手段，如使用隐藏的或内嵌的框架(