對(duì)于IE來說(默認(rèn)安全級(jí)別下)，iframe、img、link等標(biāo)簽都是只發(fā)送session cookie（又叫 第一方cookie），攔截本地cookie發(fā)送（又叫第三方cookie）。當(dāng)這些標(biāo)簽跨域引用一個(gè)頁面，實(shí)際上是發(fā)起了一次GET請(qǐng)求。

在php文件頭部加 header('P3P:CP="IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT"')

或者加 header("P3P: CP=CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR");
如果這個(gè)跨域的請(qǐng)求，HTTP返回頭中帶有Set-Cookie ， 那么這個(gè)cookie對(duì)瀏覽器來說，實(shí)際上是無效的。

看如下測(cè)試

假設(shè)有 www.a.com    與 www.b.com 兩個(gè)域

在 www.b.com 上有一個(gè)頁面，其中包含一個(gè)指向 www.a.com 的iframe

http://www.b.com/test.html 的內(nèi)容為：
----------------------------------------------------------------------

<iframe width=300 height=300 src="http://www.a.com/test.php" ></iframe>

----------------------------------------------------------------------


http://www.a.com/test.php 是一個(gè)對(duì) a.com 域設(shè)置 cookie的頁面，其內(nèi)容為：
----------------------------------------------------------------------

<?php

header("Set-Cookie: test=axis; domain=.a.com; path=/");

?>

<script>
    alert(document.cookie);
</script>

----------------------------------------------------------------------


此時(shí)我們請(qǐng)求 http://www.b.com/test.html , 他包含一個(gè)iframe，會(huì)去跨域請(qǐng)求 www.a.com/test.php ，該php頁面會(huì)嘗試 set-cookie

第一次請(qǐng)求， test.php 會(huì) set-cookie，所以瀏覽器會(huì)收到一個(gè)cookie。

如果 set-cookie 成功，再次請(qǐng)求該頁面，瀏覽器應(yīng)該會(huì) sent 剛才 recieve 到的cookie。可是由于前面說的跨域限制，在IE里的iframe標(biāo)簽是 set-cookie不成功的，所以無法sent剛才收到的cookie。 這里無論是 session cookie 還是本地cookie都是一樣。


可以看到，第二次發(fā)包，還是沒能sent出去cookie


但是這種情況在加入了P3P header 后會(huì)改變。

P3P header允許跨域訪問隱私數(shù)據(jù)，從而可以跨域set-cookie成功

我們修改 www.a.com/test.php 為
----------------------------------------------------------------------

<?php

header("P3P: CP=CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR");

header("Set-Cookie: test=axis; expires=Sun, 23-Dec-2018 08:13:02 GMT; domain=.a.com; path=/");

?>

<script>
    alert(document.cookie);
</script>

----------------------------------------------------------------------

再次訪問兩次上面的測(cè)試過程

可以看到第二個(gè)包已經(jīng)發(fā)送出了收到的cookie

而我們寫的javascript也能夠彈出cookie了。


值得注意的是，P3P header只需要設(shè)置一次，這樣跟在這個(gè)P3P header后面的所有 set-cookie，都可以跨域訪問了。也就是說: 被P3P header設(shè)置過一次后，之后的請(qǐng)求不再需要P3P header，也能夠在iframe里跨域發(fā)送這些cookie。

但是如果用 set-cookie 去改變?cè)O(shè)置好的cookie，則不再具有這種跨域訪問特性。


P3P header 還有一個(gè)特點(diǎn)就是同一個(gè)包里只能設(shè)置一次，后面的P3P Header不會(huì)覆蓋前面的P3P header，瀏覽器只認(rèn)第一個(gè)。

P3P 是 The Platform for Privacy Preferences 的簡(jiǎn)稱

更多具體的內(nèi)容可以參閱W3C的標(biāo)準(zhǔn) http://www.w3.org/TR/P3P/

在這里，我們看到的很亂的 P3P header里的東西，都不知道是什么亂七八糟的策略內(nèi)容，實(shí)際上這是一些簡(jiǎn)寫

比如 上面用到的

P3P: CP=CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR

CP 是 Compact Policy 的簡(jiǎn)寫

CURa 中 CUR 是 <current/> 的簡(jiǎn)寫， a 是 always 的簡(jiǎn)寫

當(dāng)然P3P header也可以直接 引用一個(gè) xml 策略文件

比如這么寫
HTTP/1.1 200 OK
P3P: policyref="http://catalog.example.com/P3P/PolicyReferences.xml"
Content-Type: text/html
Content-Length: 7413
Server: CC-Galaxy/1.3.18使用P3P的方法還有很多，這里不一一列舉了。


最后，利用P3P Header 的這種特性，在實(shí)際攻擊中，還是可以利用一下的。

比如利用CRLF插入一個(gè)P3P header后，改變一個(gè)本地cookie的值，該cookie在之后的過程中可以被iframe引用到，也許會(huì)發(fā)生一些很奇妙的事情。

具體會(huì)變成什么樣我也不知道，畢竟web應(yīng)用安全和環(huán)境的關(guān)系是越來越緊密了。