session跨域丢失问题

    以前做过一个系统，需要在系统(A)中集成目前现存系统(B)的功能。

    因为系统B做了权限控制，所以在系统A的数据库建立跟系统B一样的权限表，然后登录系统A后，将用户信息、权限信息等存放进session中，然后在系统B进行权限验证。

    理论上这种设计在不使用框架结构时，完全是可行的。但是如果，系统A使用了框架结构，即系统(B)中的功能页面要嵌入到系统(A)的框架中时，系统B取不到session值了，既session丢失了。

    原来是因为应用需求在一个页面的不同frame下面访问不同的域，结果造成了session丢失。

    问题根源:
    IE6/IE7支持的P3P(Platform for Privacy Preferences Project (P3P) specification)协议默认阻止第三方无隐私安全声明的cookie，Firefox目前还不支持P3P安全特性，firefox中自然也不存在此问题了。Mircosoft对此的具体描述可以参见 Privacy in Internet Explorer 6
 
    解决办法是在要嵌入的内容中(iframe指向的站点)输出P3P的主机头声明：
    php:
          header('P3P:CP="IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT"');

    asp.net:
          HttpContext.Current.Response.AddHeader("p3p", "CP=\""IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT\""")

     jsp:
          response.setHeader("P3P","CP='IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT'")

     ColdFusion:
          <cfheader name="P3P" value="CP='IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT'" />