我不是小提琴专家,但试图找出我的配置有什么问题。我在域名example.com上有一个网站,我托管在域名example.org上另一个网站的iframe上。
example.com具有登录控件,并且在成功的身份验证上,我必须打开一个新选项卡。Chrome和Firefox工作正常,但IE表现得好像我点击了登录点击刷新按钮。
追踪小提琴手,但我不确定我应该寻找什么,请帮助。
请求头:
POST https://example.com/Login/VerifyUserDetails HTTP/1.1 Accept: application/json, text/javascript, */*; q=0.01 Content-Type: application/json X-Requested-With: XMLHttpRequest Referer: https://example.com/ Accept-Language: en-US Accept-Encoding: gzip, deflate User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko Host: example.com Content-Length: 37 DNT: 1 Connection: Keep-Alive Cache-Control: no-cache
{"userEmail":"abc@gmail.com"}
响应头:
HTTP/1.1 200 OK Cache-Control: public, no-store, max-age=0 Content-Length: 65 Content-Type: application/json; charset=utf-8 Expires: Wed, 29 Jun 2016 00:07:28 GMT Last-Modified: Wed, 29 Jun 2016 00:07:28 GMT Vary: * Server: Microsoft-IIS/7.5 X-UA-Compatible: IE=Edge X-XSS-Protection: 1; mode=block X-Content-Type-Options: nosniff Content-Security-Policy: frame-ancestors 'self' https://example.org*.example.com *.example.org; X-Powered-By: ARR/2.5 X-Powered-By: ASP.NET Date: Wed, 29 Jun 2016 00:07:38 GMT
{"IsADUser":false,"IsActiveUser":false,"PasswordSetError":""}
请指导。
虽然我认为在这方面有专业知识的人可能会发现这个有趣的是,身份验证后的下一个调用是一个重定向,我看到下面的响应:
<html><head><title>Object moved</title></head><body>
<h2>Object moved to <a href="/">here</a>.</h2>
</body></html>
原来我需要添加我在IE可信站点的iframe中托管的域。它的工作原理。:)所以,这不是一个跨域脚本问题,我使用w3c推荐的内容安全策略。
为了添加内容,我必须向站点添加p3p策略。我有域名在我的IE信任的网站列表,所以它为我工作与上述解决方案。但是,一个外部用户没有我们的域名在白名单中,他一直得到401错误。我搜索了很多,必须添加一个有效的p3p令牌才能工作。不是任何p3p策略,但是一个有效的,不像我在网上找到的其他建议。