Internet Explorer の IFRAME で Cookie がブロックされている/保存されていない質問する

Question

動作させることはできましたが、解決方法が少し複雑なので、ご容赦ください。

何が起こっていますか

現状では、Internet Explorer は IFRAME ページ (IE ではこれを「サードパーティ」コンテンツと呼びます) に低いレベルの信頼を与えます。IFRAME 内のページにプライバシーポリシーがない場合、そのページの Cookie はブロックされます (これはステータスバーの目のアイコンで示され、それをクリックすると、ブロックされた URL のリストが表示されます)。

_{（ソース：piskvor.org）}

この場合、Cookie がブロックされると、セッション識別子は送信されず、ターゲットスクリプトは「セッションが見つかりません」というエラーをスローします。

(フォームにセッション識別子を設定し、POST 変数からロードしようとしました。これは機能したはずですが、政治的な理由でそれができませんでした。)

IFRAME 内のページの信頼性を高めることができます。内部ページが IE に受け入れられるプライバシーポリシーを含む P3P ヘッダーを送信すると、Cookie が受け入れられます。

解決方法

P3Pポリシーを作成する

良い出発点はW3C チュートリアル私はそれを読み、ダウンロードしましたIBM プライバシーポリシー編集者そこで、プライバシーポリシーの表現を作成し、参照するための名前を付けました (ここではpolicy1)。

注: この時点で、実際にサイトにプライバシーポリシーがあるかどうかを確認し、ない場合は作成する必要があります。ユーザーデータを収集するかどうか、どのような種類のデータを使用するか、そのデータで何を行うか、誰がそのデータにアクセスできるのかなどです。この情報を見つけて検討する必要があります。いくつかのタグをまとめるだけでは不十分です。この手順はソフトウェアだけで実行することはできず、非常に政治的な問題になる場合があります (「クリック統計を販売すべきか?」など)。

(例: 「このサイトは ACME Ltd. によって運営されており、運営には匿名のセッションごとの識別子が使用され、明示的に許可された場合にのみ以下の目的でユーザーデータが収集され、データは必要な期間のみ保存され、当社のみがデータにアクセスできます、など)。

(このツールで編集する場合、ポリシーのエラーや欠落を表示できます。また、「HTML ポリシー」タブも非常に便利です。下部には「ポリシー評価」があり、ポリシーが IE のデフォルト設定でブロックされるかどうかを簡単に確認できます)

エディターは、上記のポリシーの XML 表現である .p3p ファイルにエクスポートします。また、このポリシーの「コンパクトバージョン」をエクスポートすることもできます。

ポリシーへのリンク

次に、ポリシー参照ファイル ( http://example.com/w3c/p3p.xml) (サイトが使用するプライバシーポリシーのインデックス) が必要になりました。

<META>
  <POLICY-REFERENCES>
    <POLICY-REF about="/w3c/example-com.p3p#policy1">
      <INCLUDE>/</INCLUDE>
      <COOKIE-INCLUDE/>
    </POLICY-REF>
  </POLICY-REFERENCES>
</META>

このポリシーを使用するすべてのURIが<INCLUDE>表示されます（私の場合はサイト全体）。エディタからエクスポートしたポリシーファイルは、http://example.com/w3c/example-com.p3p

レスポンスにコンパクトヘッダーを送信する

私は、次のように、応答とともにコンパクトヘッダーを送信するように example.com の Web サーバーを設定しました。

HTTP/1.1 200 OK 
P3P: policyref="/w3c/p3p.xml", CP="IDC DSP COR IVAi IVDi OUR TST"
// ... other headers and content

policyrefは、ポリシー参照ファイル (プライバシーポリシーを参照する) への相対 URI であり、CPコンパクトなポリシー表現です。例の P3P ヘッダーの組み合わせは、特定の Web サイトには適用できない可能性があることに注意してください。P3P ヘッダーは、独自のプライバシーポリシーを正確に表現する必要があります。

利益！

この構成では、Evil Eye は表示されず、IFRAME 内にも Cookie が保存され、アプリケーションが動作します。

編集: 訴訟から身を守るのが好きでない限り、してはいけないこと

何人かの人が「Evil Eye が諦めるまで、P3P ヘッダーにいくつかのタグを貼り付けるだけ」と提案しています。

タグは単なるビットの集まりではなく、現実世界での意味を持ち、それを使用することで現実世界での責任が与えられます。

たとえば、ユーザーデータをまったく収集しないふりをすると、ブラウザーは満足するかもしれませんが、実際にユーザーデータを収集すると、P3P は現実と矛盾します。簡単に言えば、意図的にユーザーを欺いていることになります。これは、一部の国では犯罪行為となる可能性があります。「200 ドルを徴収しないと刑務所行き」のように。

いくつかの例（タグの完全なセットについてはp3pwriterを参照してください。):

NOI : 「Web サイトは識別されたデータを収集しません。」 (カスタマイズ、ログイン、またはデータ収集 (***** Analytics など) がある場合は、P3P でそれを承認する必要があります)
STP : 情報は、明示された目的を満たすために保持されます。このため、情報は可能な限り早期に破棄する必要があります。サイトには、破棄のタイムテーブルを確立する保持ポリシーが必要です。保持ポリシーは、サイトの人間が読めるプライバシーポリシーに含まれているか、そこからリンクされている必要があります。" (つまり、送信してSTPも保持ポリシーがない場合は、詐欺行為を行っている可能性があります。これはすごいことですよね? まったくそんなことはありません。)

私は弁護士ではありませんが、P3P ヘッダーが本当に法的に拘束力があるかどうか、または実際に約束を守る意思がないのにユーザーに何かを約束できるかどうかを確認するために法廷に行くつもりはありません。

Answer 1

動作させることはできましたが、解決方法が少し複雑なので、ご容赦ください。

何が起こっていますか

現状では、Internet Explorer は IFRAME ページ (IE ではこれを「サードパーティ」コンテンツと呼びます) に低いレベルの信頼を与えます。IFRAME 内のページにプライバシーポリシーがない場合、そのページの Cookie はブロックされます (これはステータスバーの目のアイコンで示され、それをクリックすると、ブロックされた URL のリストが表示されます)。

_{（ソース：piskvor.org）}

この場合、Cookie がブロックされると、セッション識別子は送信されず、ターゲットスクリプトは「セッションが見つかりません」というエラーをスローします。

(フォームにセッション識別子を設定し、POST 変数からロードしようとしました。これは機能したはずですが、政治的な理由でそれができませんでした。)

IFRAME 内のページの信頼性を高めることができます。内部ページが IE に受け入れられるプライバシーポリシーを含む P3P ヘッダーを送信すると、Cookie が受け入れられます。

解決方法

P3Pポリシーを作成する

良い出発点はW3C チュートリアル私はそれを読み、ダウンロードしましたIBM プライバシーポリシー編集者そこで、プライバシーポリシーの表現を作成し、参照するための名前を付けました (ここではpolicy1)。

注: この時点で、実際にサイトにプライバシーポリシーがあるかどうかを確認し、ない場合は作成する必要があります。ユーザーデータを収集するかどうか、どのような種類のデータを使用するか、そのデータで何を行うか、誰がそのデータにアクセスできるのかなどです。この情報を見つけて検討する必要があります。いくつかのタグをまとめるだけでは不十分です。この手順はソフトウェアだけで実行することはできず、非常に政治的な問題になる場合があります (「クリック統計を販売すべきか?」など)。

(例: 「このサイトは ACME Ltd. によって運営されており、運営には匿名のセッションごとの識別子が使用され、明示的に許可された場合にのみ以下の目的でユーザーデータが収集され、データは必要な期間のみ保存され、当社のみがデータにアクセスできます、など)。

(このツールで編集する場合、ポリシーのエラーや欠落を表示できます。また、「HTML ポリシー」タブも非常に便利です。下部には「ポリシー評価」があり、ポリシーが IE のデフォルト設定でブロックされるかどうかを簡単に確認できます)

エディターは、上記のポリシーの XML 表現である .p3p ファイルにエクスポートします。また、このポリシーの「コンパクトバージョン」をエクスポートすることもできます。

ポリシーへのリンク

次に、ポリシー参照ファイル ( http://example.com/w3c/p3p.xml) (サイトが使用するプライバシーポリシーのインデックス) が必要になりました。

<META>
  <POLICY-REFERENCES>
    <POLICY-REF about="/w3c/example-com.p3p#policy1">
      <INCLUDE>/</INCLUDE>
      <COOKIE-INCLUDE/>
    </POLICY-REF>
  </POLICY-REFERENCES>
</META>

このポリシーを使用するすべてのURIが<INCLUDE>表示されます（私の場合はサイト全体）。エディタからエクスポートしたポリシーファイルは、http://example.com/w3c/example-com.p3p

レスポンスにコンパクトヘッダーを送信する

私は、次のように、応答とともにコンパクトヘッダーを送信するように example.com の Web サーバーを設定しました。

HTTP/1.1 200 OK 
P3P: policyref="/w3c/p3p.xml", CP="IDC DSP COR IVAi IVDi OUR TST"
// ... other headers and content

policyrefは、ポリシー参照ファイル (プライバシーポリシーを参照する) への相対 URI であり、CPコンパクトなポリシー表現です。例の P3P ヘッダーの組み合わせは、特定の Web サイトには適用できない可能性があることに注意してください。P3P ヘッダーは、独自のプライバシーポリシーを正確に表現する必要があります。

利益！

この構成では、Evil Eye は表示されず、IFRAME 内にも Cookie が保存され、アプリケーションが動作します。

編集: 訴訟から身を守るのが好きでない限り、してはいけないこと

何人かの人が「Evil Eye が諦めるまで、P3P ヘッダーにいくつかのタグを貼り付けるだけ」と提案しています。

タグは単なるビットの集まりではなく、現実世界での意味を持ち、それを使用することで現実世界での責任が与えられます。

たとえば、ユーザーデータをまったく収集しないふりをすると、ブラウザーは満足するかもしれませんが、実際にユーザーデータを収集すると、P3P は現実と矛盾します。簡単に言えば、意図的にユーザーを欺いていることになります。これは、一部の国では犯罪行為となる可能性があります。「200 ドルを徴収しないと刑務所行き」のように。

いくつかの例（タグの完全なセットについてはp3pwriterを参照してください。):

NOI : 「Web サイトは識別されたデータを収集しません。」 (カスタマイズ、ログイン、またはデータ収集 (***** Analytics など) がある場合は、P3P でそれを承認する必要があります)
STP : 情報は、明示された目的を満たすために保持されます。このため、情報は可能な限り早期に破棄する必要があります。サイトには、破棄のタイムテーブルを確立する保持ポリシーが必要です。保持ポリシーは、サイトの人間が読めるプライバシーポリシーに含まれているか、そこからリンクされている必要があります。" (つまり、送信してSTPも保持ポリシーがない場合は、詐欺行為を行っている可能性があります。これはすごいことですよね? まったくそんなことはありません。)

私は弁護士ではありませんが、P3P ヘッダーが本当に法的に拘束力があるかどうか、または実際に約束を守る意思がないのにユーザーに何かを約束できるかどうかを確認するために法廷に行くつもりはありません。

Internet Explorer の IFRAME で Cookie がブロックされている/保存されていない質問する

ベストアンサー1

何が起こっていますか

解決方法

P3Pポリシーを作成する

ポリシーへのリンク

レスポンスにコンパクトヘッダーを送信する

利益！

編集: 訴訟から身を守るのが好きでない限り、してはいけないこと

おすすめ記事