Trik iframe z plikami cookie innej firmy w Safari już nie działa?

Jest to więc kolejna zemsta na pytanie „jak sprawić, by pliki cookie innych firm działały w Safari”, ale pytam ponownie, ponieważ myślę, że pole gry się zmieniło, być może po lutym 2012 r. Jedna ze standardowych sztuczek, aby uzyskać trzecią pozycję pliki cookie firm w Safari wyglądały następująco: użyj javascript do POST w ukrytej ramce iframe. To (kiedyś) oszukiwało Safari, by myślało, że użytkownik wszedł w interakcję z treściami stron trzecich, a więc zezwala na ustawienie plików cookie.

Myślę, że ta luka została zamknięta po łagodnym skandalu, w którym ujawniono, że Google używa tej sztuczki w swoich reklamach. Przynajmniej podczas korzystania z tej sztuczki nie byłem w stanie ustawić plików cookie w Safari. Odkryłem kilka przypadkowych wpisów internetowych, w których twierdzono, że Apple pracuje nad zamknięciem luki, ale nie znalazłem żadnego oficjalnego słowa.

Jako rozwiązanie awaryjne próbowałem nawet przeprojektować główną ramkę strony trzeciej, tak aby trzeba było kliknąć przycisk, zanim zawartość się załaduje, ale nawet ten poziom bezpośredniej interakcji nie był wystarczający, aby stopić zimne serce Safari.

Czy ktoś wie na pewno, czy Safari rzeczywiście zamknęło tę lukę? Jeśli tak, czy istnieją inne obejścia (inne niż ręczne uwzględnianie identyfikatora sesji w każdym żądaniu)?

Chciałem tylko zostawić tutaj proste działające rozwiązanie, które nie wymaga interakcji użytkownika .

Jak napisałem w poście, który zrobiłem :

W zasadzie wszystko, co musisz zrobić, to załadować swoją stronę na top.location, utworzyć sesję i przekierować ją z powrotem na Facebook.

Dodaj ten kod u góry index.phpi ustaw $page_urlna końcowej karcie / adresie URL aplikacji, a zobaczysz, że aplikacja będzie działać bez żadnego problemu.

<?php
    // START SAFARI SESSION FIX
    session_start();
    $page_url = "http://www.facebook.com/pages/.../...?sk=app_...";
    if (isset($_GET["start_session"]))
        die(header("Location:" . $page_url));

    if (!isset($_GET["sid"]))
        die(header("Location:?sid=" . session_id()));
    $sid = session_id();
    if (empty($sid) || $_GET["sid"] != $sid):
?>
   <script>
        top.window.location="?start_session=true";
    </script>
<?php
    endif;
    // END SAFARI SESSION FIX
?>

Uwaga: to zostało stworzone dla Facebooka, ale faktycznie działałoby w innych podobnych sytuacjach.

Edycja 20 grudnia 2012 - Utrzymanie podpisanego wniosku:

Powyższy kod nie obsługuje danych wysłania żądań i straciłbyś podpisane_żądanie, jeśli Twoja aplikacja opiera się na podpisanym żądaniu, możesz wypróbować następujący kod:

Uwaga: to jest nadal poprawnie testowane i może być mniej stabilne niż pierwsza wersja. Używaj na własne ryzyko / Opinie są mile widziane.

(Podziękowania dla CBroe za skierowanie mnie we właściwym kierunku, co pozwoliło ulepszyć rozwiązanie)

// Start Session Fix
session_start();
$page_url = "http://www.facebook.com/pages/.../...?sk=app_...";
if (isset($_GET["start_session"]))
    die(header("Location:" . $page_url));
$sid = session_id();
if (!isset($_GET["sid"]))
{
    if(isset($_POST["signed_request"]))
       $_SESSION["signed_request"] = $_POST["signed_request"];
    die(header("Location:?sid=" . $sid));
}
if (empty($sid) || $_GET["sid"] != $sid)
    die('<script>top.window.location="?start_session=true";</script>');
// End Session Fix

Powiedziałeś, że chcesz, aby użytkownicy klikali przycisk przed załadowaniem treści. Moim rozwiązaniem było otwarcie nowego okna przeglądarki za pomocą przycisku. To okno ustawia plik cookie dla mojej domeny, odświeża otwieracz, a następnie zamyka się.

Twój główny skrypt mógłby więc wyglądać następująco:

<?php if(count($_COOKIE) > 0): ?>
<!--Main Content Stuff-->
<?php else: ?>
<a href="/safari_cookie_fix.php" target="_blank">Click here to load content</a>
<?php endif ?>

Następnie safari_cookie_fix.php wygląda następująco:

<?php
setcookie("safari_test", "1");
?>
<html>
    <head>
        <title>Safari Fix</title>
        <script type="text/javascript" src="/libraries/prototype.min.js"></script>
    </head>
    <body>
    <script type="text/javascript">
    document.observe('dom:loaded', function(){
        window.opener.location.reload();
        window.close();
    })
    </script>
    This window should close automatically
    </body>
</html>

Oszukałem Safari z .htaccess:

#http://www.w3.org/P3P/validator.html
<IfModule mod_headers.c>
Header set P3P "policyref=\"/w3c/p3p.xml\", CP=\"NOI DSP COR NID CUR ADM DEV OUR BUS\""
Header set Set-Cookie "test_cookie=1"
</IfModule>

I dla mnie też przestało działać. Wszystkie moje aplikacje tracą sesję w Safari i są przekierowywane z Facebooka. Ponieważ spieszę się, aby naprawić te aplikacje, obecnie szukam rozwiązania. Będę was informować.

Edycja (2012-04-06): Najwyraźniej Apple „naprawiło” to w wersji 5.1.4. Jestem pewien, że jest to reakcja na Google-thing: „Wystąpił problem z egzekwowaniem polityki plików cookie. Witryny stron trzecich mogą ustawiać pliki cookie, jeśli preferencja„ Blokuj pliki cookie ”w Safari została ustawiona na ustawienie domyślne„ Od stron trzecich i reklamodawców ”. Http://support.apple.com/kb/HT5190

W swoim kontrolerze Ruby on Rails możesz użyć:

private

before_filter :safari_cookie_fix

def safari_cookie_fix
  user_agent = UserAgent.parse(request.user_agent) # Uses useragent gem!
  if user_agent.browser == 'Safari' # we apply the fix..
    return if session[:safari_cookie_fixed] # it is already fixed.. continue
    if params[:safari_cookie_fix].present? # we should be top window and able to set cookies.. so fix the issue :)
      session[:safari_cookie_fixed] = true
      redirect_to params[:return_to]
    else
      # Redirect the top frame to your server..
      render :text => "<script>alert('start redirect');top.window.location='?safari_cookie_fix=true&return_to=#{set_your_return_url}';</script>"
    end
  end
end

W mojej konkretnej sytuacji rozwiązałem problem, używając metody window.postMessage () i eliminując wszelkie interakcje użytkownika. Zauważ, że zadziała to tylko wtedy, gdy możesz w jakiś sposób wykonać js w oknie nadrzędnym. Albo przez dołączenie js ze swojej domeny, albo jeśli masz bezpośredni dostęp do źródła.

W ramce iframe (domena-b) sprawdzam obecność pliku cookie i jeśli nie jest ustawiony, wyślę wiadomość postMessage do nadrzędnego (domena-a). Na przykład;

if (navigator.userAgent.indexOf('Safari') != -1 && navigator.userAgent.indexOf('Chrome') == -1
    && document.cookie.indexOf("safari_cookie_fix") < 0) {
    window.parent.postMessage(JSON.stringify({ event: "safariCookieFix", data: {} }));
}

Następnie w oknie nadrzędnym (domena-a) nasłuchuj zdarzenia.

if (typeof window.addEventListener !== "undefined") {
    window.addEventListener("message", messageReceived, false);
}

function messageReceived (e) {
    var data;

    if (e.origin !== "http://www.domain-b.com") {
        return;
    }

    try {
        data = JSON.parse(e.data);
    }
    catch (err) {
        return;
    }

    if (typeof data !== "object" || typeof data.event !== "string" || typeof data.data === "undefined") {
        return;
    }

    if (data.event === "safariCookieFix") {
        window.location.href = e.origin + "/safari/cookiefix"; // Or whatever your url is
        return;
    }
}

Wreszcie na swoim serwerze (http://www.domain-b.com/safari/cookiefix) ustawiasz plik cookie i przekierowujesz z powrotem do miejsca, z którego przyszedł użytkownik. Poniższy przykład wykorzystuje ASP.NET MVC

public class SafariController : Controller
{
    [HttpGet]
    public ActionResult CookieFix()
    {
        Response.Cookies.Add(new HttpCookie("safari_cookie_fix", "1"));

        return Redirect(Request.UrlReferrer != null ? Request.UrlReferrer.OriginalString : "http://www.domain-a.com/");
    }

}

Miałem ten sam problem i dziś znalazłem poprawkę, która działa dobrze. Jeśli klient użytkownika zawiera Safarii nie są ustawione żadne pliki cookie, przekierowuję użytkownika do okna dialogowego OAuth:

<?php if ( ! count($_COOKIE) > 0 && strpos($_SERVER['HTTP_USER_AGENT'], 'Safari')) { ?>
<script type="text/javascript">
    window.top.location.href = 'https://www.facebook.com/dialog/oauth/?client_id=APP_ID&redirect_uri=MY_TAB_URL&scope=SCOPE';
</script>
<?php } ?>

Po uwierzytelnieniu i zapytaniu o uprawnienia okno dialogowe OAuth przekieruje do mojego URI w górnej lokalizacji. Możliwe jest więc ustawienie plików cookie. Do wszystkich naszych aplikacji na kanwie i kartach strony dołączyłem już następujący skrypt:

<script type="text/javascript">
    if (top.location.href==location.href) top.location.href = 'MY_TAB_URL';
</script>

W ten sposób użytkownik zostanie ponownie przekierowany do zakładki strony na Facebooku z ustawionym już ważnym plikiem cookie, a podpisane żądanie zostanie ponownie wysłane.

W końcu zdecydowałem się na rozwiązanie podobne do tego, które dostarczyła Sascha, jednak z niewielkimi zmianami, ponieważ ustawiam pliki cookie bezpośrednio w PHP:

// excecute this code if user has not authorized the application yet
// $facebook object must have been created before

$accessToken = $_COOKIE['access_token']

if ( empty($accessToken) && strpos($_SERVER['HTTP_USER_AGENT'], 'Safari') ) {

    $accessToken = $facebook->getAccessToken();
    $redirectUri = 'https://URL_WHERE_APP_IS_LOCATED?access_token=' . $accessToken;

} else {

    $redirectUri = 'https://apps.facebook.com/APP_NAMESPACE/';

}

// generate link to auth dialog
$linkToOauthDialog = $facebook->getLoginUrl(
    array(
        'scope'         =>  SCOPE_PARAMS,
        'redirect_uri'  =>  $redirectUri
    )
);

echo '<script>window.top.location.href="' . $linkToOauthDialog . '";</script>';

W ten sposób sprawdza, czy plik cookie jest dostępny, gdy przeglądarka to safari. W następnym kroku jesteśmy w domenie aplikacji, a mianowicie w URI podanym powyżej jako URL_WHERE_APP_IS_LOCATED.

if (isset($_GET['accessToken'])) {

    // cookie has a lifetime of only 10 seconds, so that after
    // authorization it will disappear
    setcookie("access_token", $_GET['accessToken'], 10); 

} else {

  // depending on your application specific requirements
  // redirect, call or execute authorization code again
  // with the cookie now set, this should return FB Graph results

}

Tak więc po przekierowaniu do domeny aplikacji, plik cookie jest ustawiany jawnie, a ja przekierowuję użytkownika do procesu autoryzacji.

W moim przypadku (ponieważ używam CakePHP, ale powinno działać dobrze z każdym innym frameworkiem MVC) ponownie wywołuję akcję logowania, w której autoryzacja FB jest wykonywana innym razem i tym razem kończy się sukcesem z powodu istniejącego pliku cookie.

Po jednorazowym autoryzowaniu aplikacji nie miałem już problemów z używaniem aplikacji w Safari (5.1.6)

Mam nadzieję, że to może pomóc każdemu.

Miałem ten problem na urządzeniach z systemem iOS. Stworzyłem sklep, który można osadzić w normalnej witrynie za pomocą elementu iframe. W jakiś sposób przy każdym ładowaniu strony użytkownik otrzymywał nowy identyfikator sesji, co powodowało, że użytkownicy utknęli w połowie procesu, ponieważ niektóre wartości nie były obecne w sesji.

Wypróbowałem kilka rozwiązań podanych na tej stronie, ale wyskakujące okienka nie działają zbyt dobrze na iPadzie i potrzebowałem najbardziej przejrzystego rozwiązania.

Rozwiązałem to za pomocą przekierowania. Witryna, która osadza moją witrynę, musi najpierw przekierować użytkownika do mojej witryny, więc na górę ramka zawiera adres URL do mojej witryny, gdzie ustawiam plik cookie i przekierowuję użytkownika na odpowiednią stronę w witrynie, która osadza moją witrynę, czyli jest przekazywana w adresie URL.

Przykładowy kod PHP

Zdalna witryna przekierowuje użytkownika do

http://clientname.example.com/init.php?redir=http://www.domain.com/shop/frame

init.php

<?php
// set a cookie for a year
setcookie('initialized','1',time() + 3600 * 24 * 365, '/', '.domain.com', false, false);
header('location: ' . $_GET['redir']);
die;

Użytkownik trafia na miejsce, w http://www.domain.com/shop/framektórym osadzona jest moja witryna, zapisuje sesje tak, jak powinien i zjada pliki cookie.

Mam nadzieję, że to komuś pomoże.

Pozwólcie, że podzielę się moją poprawką w ASP.NET MVC 4. Główną ideą jest poprawna odpowiedź dla PHP. Kolejny kod dodany w głównym Układzie w nagłówku obok sekcji skryptów:

@if (Request.Browser.Browser=="Safari")
{
    string pageUrl = Request.Url.GetLeftPart(UriPartial.Path);
    if (Request.Params["safarifix"] != null && Request.Params["safarifix"] == "doSafariFix")
    {
        Session["IsActiveSession"] = true;
        Response.Redirect(pageUrl);
        Response.End();
    }
        else if(Session["IsActiveSession"]==null)
    {
        <script>top.window.location = "?safarifix=doSafariFix";</script>
    }
}

To rozwiązanie ma zastosowanie w niektórych przypadkach - jeśli to możliwe:

Jeśli strona z treścią iframe korzysta z subdomeny strony zawierającej iframe, plik cookie nie jest już blokowany.

Google faktycznie wypuścił kota z torby na tym. Używali go przez jakiś czas, aby uzyskać dostęp do śledzących plików cookie. Zostało to prawie natychmiast naprawione przez Apple = \

oryginalny post w Wall Street Journal

Oto kod, którego używam. Zauważyłem, że jeśli ustawię jakikolwiek plik cookie z mojej witryny, wówczas pliki cookie będą magicznie działać w elemencie iframe.

http://developsocialapps.com/foundations-of-a-facebook-app-framework/

 if (isset($_GET['setdefaultcookie'])) {
        // top level page, set default cookie then redirect back to canvas page
        setcookie ('default',"1",0,"/");
        $url = substr($_SERVER['REQUEST_URI'],strrpos($_SERVER['REQUEST_URI'],"/")+1);
        $url = str_replace("setdefaultcookie","defaultcookieset",$url);
        $url = $facebookapp->getCanvasUrl($url);
        echo "<html>\n<body>\n<script>\ntop.location.href='".$url."';\n</script></body></html>";
        exit();
    } else if ((!isset($_COOKIE['default'])) && (!isset($_GET['defaultcookieset']))) {
        // no default cookie, so we need to redirect to top level and set
        $url = $_SERVER['REQUEST_URI'];
        if (strpos($url,"?") === false) $url .= "?";
        else $url .= "&";
        $url .= "setdefaultcookie=1";
        echo "<html>\n<body>\n<script>\ntop.location.href='".$url."';\n</script></body></html>";
        exit();
    }

Nieco prostsza wersja w PHP tego, co opublikowali inni:

if (!isset($_COOKIE, $_COOKIE['PHPSESSID'])) {
    print '<script>top.window.location="https://example.com/?start_session=true";</script>';
    exit();
}

if (isset($_GET['start_session'])) {
    header("Location: https://apps.facebook.com/YOUR_APP_ID/");
    exit();
}

Znalazłem idealną odpowiedź na to pytanie, wszystko dzięki facetowi o imieniu Allan, który zasługuje na wszystkie pochwały. ( http://www.allannienhuis.com/archives/2013/11/03/blocked-3rd-party-session-cookies-in-iframes/ )

Jego rozwiązanie jest proste i łatwe do zrozumienia.

Na serwerze zawartości iframe (domena 2) dodaj plik o nazwie startedession.php na poziomie domeny głównej, który zawiera:

<?php
// startsession.php
session_start();
$_SESSION['ensure_session'] = true;
die(header('location: '.$_GET['return']));

Teraz w witrynie najwyższego poziomu zawierającej element iframe (domena1) wywołanie strony zawierającej element iframe powinno wyglądać następująco:

<a href="https://domain2/startsession.php?return=http://domain1/pageWithiFrame.html">page with iFrame</a>

I to wszystko! Simples :)

Powodem tego jest to, że kierujesz przeglądarkę na adres URL strony trzeciej, a tym samym mówisz jej, aby ufała jej przed wyświetleniem zawartości z niej w ramce iframe.

Użyłem zmodyfikowanej (dodałem parametr signed_request do linku) sztuczki Whiteagle i działało dobrze na safari, ale IE w tym przypadku stale odświeża stronę. Więc moje rozwiązanie dla Safari i Internet Explorera to:

$fbapplink = 'https://apps.facebook.com/[appnamespace]/';
$isms = stripos($_SERVER['HTTP_USER_AGENT'], 'msie') !== false;

// safari fix
if(! $isms  && !isset($_SESSION['signed_request'])) {

    if (isset($_GET["start_session"])) {
        $_SESSION['signed_request'] = $_GET['signed_request'];
        die(header("Location:" . $fbapplink ));

    }
    if (!isset($_GET["sid"])) {
        die(header("Location:?sid=" . session_id() . '&signed_request='.$_REQUEST['signed_request']));
    }
    $sid = session_id();
    if (empty($sid) || $_GET["sid"] != $sid) {
    ?>
    <script>
        top.window.location="?start_session=true";
    </script>
    <?php
    exit;
    }
}

// IE fix
header('P3P: CP="CAO PSA OUR"');
header('P3P: CP="HONK"');


.. later in the code

$sr = $_REQUEST['signed_request'];
if($sr) {
        $_SESSION['signed_request'] = $sr;
} else {
        $sr = $_SESSION['signed_request'];
}

Również cierpiałem z powodu tego problemu, ale w końcu znalazłem rozwiązanie. Początkowo bezpośrednio ładuj adres URL elementu iframe w przeglądarce, jak małe wyskakujące okienko, a następnie uzyskuj dostęp tylko do wartości sesji wewnątrz elementu iframe.

Niedawno napotkałem ten sam problem w Safari. Rozwiązanie, które wymyśliłem, jest oparte na interfejsie API HTML5 lokalnego magazynu. Korzystając z Local Storage, możesz emulować pliki cookie.

Oto mój post na blogu ze szczegółami: http://log.scalemotion.com/2012/10/how-to-trick-safari-and-set-3rd-party.html

Postanowiłem pozbyć się tej $_SESSIONzmiennej razem i napisałem otokę wokół memcache, aby naśladować sesję.

Sprawdź https://github.com/manpreetssethi/utils/blob/master/Session_manager.php

Przykład zastosowania: w momencie, gdy użytkownik wyląduje w aplikacji, zapisz podpisane żądanie za pomocą menedżera sesji, a ponieważ znajduje się w pamięci podręcznej, możesz odtąd uzyskać do niego dostęp na dowolnej stronie.

Uwaga: to nie zadziała podczas przeglądania prywatnego w Safari, ponieważ session_id resetuje się za każdym razem, gdy strona jest ponownie ładowana. (Głupie safari)

Możesz rozwiązać ten problem, dodając nagłówek jako zasady p3p ... miałem ten sam problem na safari, więc dodanie nagłówka na górze plików rozwiązało mój problem.

<?php
header('P3P:CP="IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT"');
?>