我必须从域 B.com 调用域 A.com(用 http 设置 cookie)。我在域 B.com 上所做的只是(javascript):
var head = document.getElementsByTagName("head")[0];
var script = document.createElement("script");
script.src = "A.com/setCookie?cache=1231213123";
head.appendChild(script);
这会在我测试过的每个浏览器上的 A.com 上设置 cookie,除了 Safari。令人惊讶的是,即使没有 P3P 标头,这也适用于 IE6。
有什么办法可以在 Safari 中完成这项工作吗?
Safari 附带了一个保守的 cookie 策略,该策略将 cookie 写入仅限于用户选择(“导航到”)的页面。此默认保守策略可能会混淆尝试写入 cookie 并失败的基于框架的站点。
我没有找到解决这个问题的方法。
如果值得的话,如果您使用<script> 附加方法,Chrome 也不会设置 cookie ,但是如果您有一个隐藏的<img> 具有相同的来源,Chrome 会与其他浏览器一起工作(同样,Safari 除外)
这可能不适用于所有人,但我遇到了这个问题,因为我从与 API 不同的主机提供 React 应用程序,最终有效的解决方案是使用 DNS:
我们的客户从 www.company-name.com 获得服务,我们的 API 位于 company-name.herokuapp.com。通过创建CNAME记录 api.company-name.com --> company-name.herokuapp.com,并让我们的客户端使用该子域进行 API 调用,Safari 不再将其视为“第三方”cookie。
好处是涉及的代码很少,而且都使用完善的东西......缺点是如果你要使用 https,你需要对 API 主机进行一些控制/所有权 - 他们需要一个有效的证书对于客户端域,否则用户将收到证书警告 - 因此,如果有问题的 API 不是您的或合作伙伴的,这将不起作用(至少不适用于面向最终用户的 API)。
2014-2016年工作方法:
您必须对域执行 window.open / 分配 cookie / 关闭弹出窗口,域现在已列入安全名单。
假设他们安装了闪存,有一些邪恶的伎俩。
我不确定它是否仍然有效,但 Flash 的“本地共享对象”又名Flash Cookie可以帮助您绕过 Safari 的同域策略。
但是,至少可以说,实施起来可能很复杂。
此外,LSO 正在成为安全噩梦:
所以在使用它们之前要仔细考虑。