İşe yaradım, ama çözüm biraz karmaşık, bu yüzden bana katlan.
Ne oluyor
Olduğu gibi, Internet Explorer IFRAME sayfalarına daha az güven verir (IE bu "üçüncü taraf" içeriği çağırır). IFRAME içindeki sayfanın bir Gizlilik Politikası yoksa, çerezleri engellenir (durum çubuğundaki göz simgesiyle gösterilir, tıkladığınızda, engellenen URL'lerin bir listesini gösterir).
(kaynak: piskvor.org )
Bu durumda, çerezler engellendiğinde, oturum kimliği gönderilmez ve hedef komut dosyası bir 'oturum bulunamadı' hatası atar.
(Oturum tanımlayıcısını forma ayarlamayı ve POST değişkenlerinden yüklemeyi denedim. Bu işe yarardı , ancak politik nedenlerle bunu yapamadım.)
IFRAME içindeki sayfayı daha güvenilir hale getirmek mümkündür: iç sayfa IE için kabul edilebilir bir gizlilik politikasına sahip bir P3P başlığı gönderirse, çerezler kabul edilir .
Nasıl çözeceksin
Bir p3p politikası oluşturma
İyi bir başlangıç noktası W3C öğreticisidir . Bu sorunu yaşadım, IBM Gizlilik Politikası Düzenleyicisi'ni indirdim ve orada gizlilik politikasının bir temsilini oluşturdum ve buna referans olması için bir ad verdim (işte burada policy1
).
NOT : bu noktada, aslında sitenizin bir gizlilik politikasına sahip olup olmadığını ve oluşturmuyorsanız, kullanıcı verilerini toplayıp toplamadığını, ne tür veriler, onunla ne yaptığını, kime erişebileceğini, Bu bilgiyi bulup düşünmelisiniz . Sadece birkaç etiketi tokatlamak kesmeyecek.Bu adım yalnızca yazılımda yapılamaz ve oldukça politik olabilir (örneğin, "tıklama istatistiklerimizi satmalı mıyız?").
(ör. "site ACME Ltd. tarafından işletilmektedir, çalışması için oturum başına anonim tanımlayıcılar kullanır, kullanıcı verilerini yalnızca açıkça izin verildiğinde toplar ve yalnızca aşağıdaki amaçlar için veriler yalnızca gerektiği kadar saklanır, yalnızca şirketimiz ", vb. erişimi vardır").
(Bu araçla düzenleme yaparken, politikadaki hataları / eksiklikleri görüntülemek mümkündür. "HTML Politikası" sekmesi de çok yararlıdır: altta "Politika Değerlendirmesi" vardır - politikanın engellenip engellenmeyeceğini hızlı bir şekilde kontrol edin IE'nin varsayılan ayarlarına göre)
Editör, yukarıdaki politikanın XML temsili olan bir .p3p dosyasına aktarır. Ayrıca, bu politikanın "kompakt bir sürümünü" dışa aktarabilir.
Politika bağlantısı
Ardından bir Politika Referans dosyası ( http://example.com/w3c/p3p.xml
) gerekiyordu (sitenin kullandığı gizlilik politikalarının bir dizini):
<META>
<POLICY-REFERENCES>
<POLICY-REF about="/w3c/example-com.p3p#policy1">
<INCLUDE>/</INCLUDE>
<COOKIE-INCLUDE/>
</POLICY-REF>
</POLICY-REFERENCES>
</META>
<INCLUDE>
Gösterileri (benim durumumda, bütün bölge cinsinden) Bu ilkeyi kullanacak tüm URI'ları. Editör'den dışa aktardığım politika dosyası şuraya yüklendi:http://example.com/w3c/example-com.p3p
Kompakt başlığı yanıtlarla gönderin
Web sunucusunu example.com'daki kompakt üstbilgiyi aşağıdaki gibi yanıtlarla gönderecek şekilde ayarladım:
HTTP/1.1 200 OK
P3P: policyref="/w3c/p3p.xml", CP="IDC DSP COR IVAi IVDi OUR TST"
// ... other headers and content
policyref
Politika Referans dosyasına ilişkin göreli bir URI'dır (bu da gizlilik politikalarına atıfta bulunur), CP
kompakt politika sunumudur. Örnekteki P3P başlıklarının birleşiminin web sitenizde geçerli olmayabilir; P3P başlıklarınız kendi gizlilik politikanızı doğru bir şekilde temsil etmelidir ZORUNLU!
Kar!
Bu yapılandırmada, Nazar gözükmez, çerezler IFRAME içine kaydedilir ve uygulama çalışır.
Düzenleme: Davalardan korunmak istemediğiniz sürece ne YAPILMAZ
Birkaç kişi "Nazardan vazgeçene kadar P3P başlığınıza bazı etiketleri yapıştırın" önerisinde bulundu.
Etiketler sadece bir parça bit değildir, gerçek dünya anlamları vardır ve kullanımları size gerçek dünya sorumlulukları verir !
Örneğin, hiç kullanıcı verilerini toplamıyormuş gibi yapmak tarayıcıyı mutlu edebilir, ancak kullanıcı verilerini gerçekten toplarsanız, P3P gerçeklikle çakışıyor demektir. Basit ve basit, kullanıcılarınıza bilerek yalan söylüyorsunuz ve bu bazı ülkelerde suç davranışı olabilir. Olduğu gibi, "hapse gidin, 200 $ toplamak yok".
Birkaç örnek ( etiketlerin tamamı için bkz. P3pwriter ):
- NOI : "Web Sitesi tanımlanan verileri toplamıyor ." (herhangi bir özelleştirme, oturum açma veya veri toplama (***** Analytics, herhangi biri?) olduğunda, P3P'nizde onaylamanız gerekir )
- STP : Belirtilen amacı karşılamak için bilgiler saklanır. Bu, bilgilerin mümkün olan en erken zamanda atılmasını gerektirir. Sitelerin bir imha süresi tablosu oluşturan bir saklama politikası olması ZORUNLUDUR. Saklama politikası, sitenin insan tarafından okunabilir gizlilik politikasına dahil edilmeli veya bu politikadan bağlantılı OLMALIDIR. "(Bu nedenle, gönderir
STP
ancak saklama politikası yoksa , sahtekarlık yapıyor olabilirsiniz . Bu ne kadar havalı mı? Hiç de değil.)
Ben bir avukat değilim, ama P3P başlığının gerçekten yasal olarak bağlayıcı olup olmadığını veya kullanıcılarınıza vaatlerinizi yerine getirmeye istekli olmadan bir şey vaat edebileceğinizi görmek için mahkemeye gitmeye istekli değilim .