Safari Drittanbieter-Cookie-Iframe-Trick funktioniert nicht mehr?

Dies ist also die x-te Rache der Frage "Wie bringe ich Cookies von Drittanbietern dazu, in Safari zu funktionieren?", Aber ich frage erneut, weil ich denke, dass sich das Spielfeld geändert hat, möglicherweise nach Februar 2012. Einer der Standardtricks, um den 3. Platz zu erreichen Party-Cookies in Safari waren wie folgt: Verwenden Sie Javascript, um einen versteckten Iframe zu veröffentlichen. Es hat Safari (früher) dazu verleitet zu glauben, dass der Benutzer mit den Inhalten von Drittanbietern interagiert hat, und so das Setzen von Cookies ermöglicht.

Ich denke, diese Lücke wurde nach dem milden Skandal geschlossen, als sich herausstellte, dass Google diesen Trick mit seinen Anzeigen verwendet hat. Zumindest konnte ich mit diesem Trick keine Cookies in Safari setzen. Ich habe einige zufällige Internet-Postings entdeckt, in denen behauptet wurde, Apple arbeite daran, die Lücke zu schließen, aber ich habe kein offizielles Wort gefunden.

Als Fallback habe ich sogar versucht, den Hauptrahmen eines Drittanbieters so zu gestalten, dass Sie auf eine Schaltfläche klicken mussten, bevor der Inhalt geladen werden konnte, aber selbst diese direkte Interaktion reichte nicht aus, um Safaris kaltes, kaltes Herz zum Schmelzen zu bringen.

Weiß also jemand mit Sicherheit, ob Safari diese Lücke tatsächlich geschlossen hat? Wenn ja, gibt es andere Problemumgehungen (außer das manuelle Einfügen einer Sitzungs-ID in jede Anforderung)?

Ich wollte hier nur eine einfache funktionierende Lösung hinterlassen, die keine Benutzerinteraktion erfordert .

Wie ich in einem Beitrag sagte, machte ich :

Grundsätzlich müssen Sie Ihre Seite nur auf top.location laden, die Sitzung erstellen und sie zurück auf Facebook umleiten.

Fügen Sie diesen Code oben in Ihren Code ein index.phpund setzen Sie ihn $page_urlauf die endgültige Registerkarte / App-URL Ihrer Anwendung. Sie werden sehen, dass Ihre Anwendung problemlos funktioniert.

<?php
    // START SAFARI SESSION FIX
    session_start();
    $page_url = "http://www.facebook.com/pages/.../...?sk=app_...";
    if (isset($_GET["start_session"]))
        die(header("Location:" . $page_url));

    if (!isset($_GET["sid"]))
        die(header("Location:?sid=" . session_id()));
    $sid = session_id();
    if (empty($sid) || $_GET["sid"] != $sid):
?>
   <script>
        top.window.location="?start_session=true";
    </script>
<?php
    endif;
    // END SAFARI SESSION FIX
?>

Hinweis: Dies wurde für Facebook erstellt, funktioniert jedoch in anderen ähnlichen Situationen.

Bearbeiten 20.12.2012 - Unterzeichnen der signierten Anfrage:

Der obige Code verwaltet die Post-Daten der Anforderungen nicht, und Sie würden die signierte_Anforderung verlieren, wenn Ihre Anwendung auf einer signierten Anforderung beruht. Probieren Sie den folgenden Code aus:

Hinweis: Dies wird noch ordnungsgemäß getestet und ist möglicherweise weniger stabil als die erste Version. Die Verwendung erfolgt auf eigenes Risiko / Feedback wird geschätzt.

(Vielen Dank an CBroe , der mich hier in die richtige Richtung gelenkt hat , um die Lösung zu verbessern.)

// Start Session Fix
session_start();
$page_url = "http://www.facebook.com/pages/.../...?sk=app_...";
if (isset($_GET["start_session"]))
    die(header("Location:" . $page_url));
$sid = session_id();
if (!isset($_GET["sid"]))
{
    if(isset($_POST["signed_request"]))
       $_SESSION["signed_request"] = $_POST["signed_request"];
    die(header("Location:?sid=" . $sid));
}
if (empty($sid) || $_GET["sid"] != $sid)
    die('<script>top.window.location="?start_session=true";</script>');
// End Session Fix

Sie sagten, Sie wären bereit, Ihre Benutzer auf eine Schaltfläche klicken zu lassen, bevor der Inhalt geladen wird. Meine Lösung bestand darin, mit einer Schaltfläche ein neues Browserfenster zu öffnen. In diesem Fenster wird ein Cookie für meine Domain gesetzt, der Öffner aktualisiert und dann geschlossen.

Ihr Hauptskript könnte also so aussehen:

<?php if(count($_COOKIE) > 0): ?>
<!--Main Content Stuff-->
<?php else: ?>
<a href="/safari_cookie_fix.php" target="_blank">Click here to load content</a>
<?php endif ?>

Dann sieht safari_cookie_fix.php so aus:

<?php
setcookie("safari_test", "1");
?>
<html>
    <head>
        <title>Safari Fix</title>
        <script type="text/javascript" src="/libraries/prototype.min.js"></script>
    </head>
    <body>
    <script type="text/javascript">
    document.observe('dom:loaded', function(){
        window.opener.location.reload();
        window.close();
    })
    </script>
    This window should close automatically
    </body>
</html>

Ich habe Safari mit einem .htaccess ausgetrickst:

#http://www.w3.org/P3P/validator.html
<IfModule mod_headers.c>
Header set P3P "policyref=\"/w3c/p3p.xml\", CP=\"NOI DSP COR NID CUR ADM DEV OUR BUS\""
Header set Set-Cookie "test_cookie=1"
</IfModule>

Und es hat auch bei mir aufgehört zu arbeiten. Alle meine Apps verlieren die Sitzung in Safari und werden von Facebook weitergeleitet. Da ich es eilig habe, diese Apps zu reparieren, suche ich derzeit nach einer Lösung. Ich werde euch auf dem Laufenden halten.

Bearbeiten (06.04.2012): Anscheinend hat Apple es mit 5.1.4 "behoben". Ich bin sicher, dass dies die Reaktion auf die Google-Sache ist: "Bei der Durchsetzung der Cookie-Richtlinie ist ein Problem aufgetreten. Websites von Drittanbietern könnten Cookies setzen, wenn die Einstellung" Cookies blockieren "in Safari auf die Standardeinstellung" Cookies blockieren "gesetzt wurde." Von Dritten und Werbetreibenden ". Http://support.apple.com/kb/HT5190

In Ihrem Ruby on Rails-Controller können Sie Folgendes verwenden:

private

before_filter :safari_cookie_fix

def safari_cookie_fix
  user_agent = UserAgent.parse(request.user_agent) # Uses useragent gem!
  if user_agent.browser == 'Safari' # we apply the fix..
    return if session[:safari_cookie_fixed] # it is already fixed.. continue
    if params[:safari_cookie_fix].present? # we should be top window and able to set cookies.. so fix the issue :)
      session[:safari_cookie_fixed] = true
      redirect_to params[:return_to]
    else
      # Redirect the top frame to your server..
      render :text => "<script>alert('start redirect');top.window.location='?safari_cookie_fix=true&return_to=#{set_your_return_url}';</script>"
    end
  end
end

Für meine spezielle Situation habe ich das Problem gelöst, indem ich window.postMessage () verwendet und jegliche Benutzerinteraktion eliminiert habe. Beachten Sie, dass dies nur funktioniert, wenn Sie js im übergeordneten Fenster ausführen können. Entweder indem Sie ein js aus Ihrer Domain einfügen oder wenn Sie direkten Zugriff auf die Quelle haben.

Im iframe (domain-b) überprüfe ich, ob ein Cookie vorhanden ist, und wenn es nicht gesetzt ist, wird eine postMessage an das übergeordnete Element (domain-a) gesendet. Z.B;

if (navigator.userAgent.indexOf('Safari') != -1 && navigator.userAgent.indexOf('Chrome') == -1
    && document.cookie.indexOf("safari_cookie_fix") < 0) {
    window.parent.postMessage(JSON.stringify({ event: "safariCookieFix", data: {} }));
}

Warten Sie dann im übergeordneten Fenster (Domäne-a) auf das Ereignis.

if (typeof window.addEventListener !== "undefined") {
    window.addEventListener("message", messageReceived, false);
}

function messageReceived (e) {
    var data;

    if (e.origin !== "http://www.domain-b.com") {
        return;
    }

    try {
        data = JSON.parse(e.data);
    }
    catch (err) {
        return;
    }

    if (typeof data !== "object" || typeof data.event !== "string" || typeof data.data === "undefined") {
        return;
    }

    if (data.event === "safariCookieFix") {
        window.location.href = e.origin + "/safari/cookiefix"; // Or whatever your url is
        return;
    }
}

Schließlich setzen Sie auf Ihrem Server (http://www.domain-b.com/safari/cookiefix) das Cookie und leiten es zurück zu dem Ort, von dem der Benutzer gekommen ist. Das folgende Beispiel verwendet ASP.NET MVC

public class SafariController : Controller
{
    [HttpGet]
    public ActionResult CookieFix()
    {
        Response.Cookies.Add(new HttpCookie("safari_cookie_fix", "1"));

        return Redirect(Request.UrlReferrer != null ? Request.UrlReferrer.OriginalString : "http://www.domain-a.com/");
    }

}

Ich hatte das gleiche Problem und heute habe ich eine Lösung gefunden, die für mich gut funktioniert. Wenn der Benutzeragent enthält Safariund keine Cookies gesetzt sind, leite ich den Benutzer zum OAuth-Dialog um:

<?php if ( ! count($_COOKIE) > 0 && strpos($_SERVER['HTTP_USER_AGENT'], 'Safari')) { ?>
<script type="text/javascript">
    window.top.location.href = 'https://www.facebook.com/dialog/oauth/?client_id=APP_ID&redirect_uri=MY_TAB_URL&scope=SCOPE';
</script>
<?php } ?>

Nach der Authentifizierung und dem Anfordern von Berechtigungen wird der OAuth-Dialog zu meiner URI an der obersten Position umgeleitet. Das Setzen von Cookies ist also möglich. Für alle unsere Canvas- und Page-Tab-Apps habe ich bereits das folgende Skript eingefügt:

<script type="text/javascript">
    if (top.location.href==location.href) top.location.href = 'MY_TAB_URL';
</script>

Daher wird der Benutzer mit einem bereits gesetzten gültigen Cookie erneut auf die Registerkarte der Facebook-Seite weitergeleitet und die signierte Anfrage wird erneut veröffentlicht.

Ich habe mich schließlich für eine ähnliche Lösung entschieden wie Sascha, allerdings mit einigen Anpassungen, da ich die Cookies explizit in PHP setze:

// excecute this code if user has not authorized the application yet
// $facebook object must have been created before

$accessToken = $_COOKIE['access_token']

if ( empty($accessToken) && strpos($_SERVER['HTTP_USER_AGENT'], 'Safari') ) {

    $accessToken = $facebook->getAccessToken();
    $redirectUri = 'https://URL_WHERE_APP_IS_LOCATED?access_token=' . $accessToken;

} else {

    $redirectUri = 'https://apps.facebook.com/APP_NAMESPACE/';

}

// generate link to auth dialog
$linkToOauthDialog = $facebook->getLoginUrl(
    array(
        'scope'         =>  SCOPE_PARAMS,
        'redirect_uri'  =>  $redirectUri
    )
);

echo '<script>window.top.location.href="' . $linkToOauthDialog . '";</script>';

Dadurch wird überprüft, ob das Cookie verfügbar ist, wenn der Browser Safari ist. Im nächsten Schritt befinden wir uns in der Anwendungsdomäne, nämlich der oben als URL_WHERE_APP_IS_LOCATED angegebenen URI.

if (isset($_GET['accessToken'])) {

    // cookie has a lifetime of only 10 seconds, so that after
    // authorization it will disappear
    setcookie("access_token", $_GET['accessToken'], 10); 

} else {

  // depending on your application specific requirements
  // redirect, call or execute authorization code again
  // with the cookie now set, this should return FB Graph results

}

Nach der Umleitung in die Anwendungsdomäne wird explizit ein Cookie gesetzt, und ich leite den Benutzer zum Autorisierungsprozess weiter.

In meinem Fall (da ich CakePHP verwende, es aber mit jedem anderen MVC-Framework problemlos funktionieren sollte) rufe ich die Anmeldeaktion erneut auf, wenn die FB-Autorisierung ein anderes Mal ausgeführt wird, und diesmal ist sie aufgrund des vorhandenen Cookies erfolgreich.

Nachdem ich die App einmal autorisiert hatte, hatte ich keine Probleme mehr mit der App mit Safari (5.1.6).

Hoffe das könnte jemandem helfen.

Ich hatte dieses Problem auf Geräten mit iOS. Ich habe mit einem Iframe einen Shop erstellt, der in eine normale Website eingebettet werden kann. Irgendwie erhielt der Benutzer bei jedem Seitenladen eine neue Sitzungs-ID, was dazu führte, dass Benutzer in der Mitte des Prozesses stecken blieben, weil einige Werte in der Sitzung nicht vorhanden waren.

Ich habe einige der auf dieser Seite angegebenen Lösungen ausprobiert, aber Popups funktionieren auf einem iPad nicht sehr gut und ich brauchte die transparenteste Lösung.

Ich habe es mit einer Umleitung gelöst. Die Website, auf der meine Website eingebettet ist, muss den Benutzer zuerst auf meine Website umleiten. Der obere Frame enthält also die URL zu meiner Website, auf der ich ein Cookie setze und den Benutzer auf die richtige Seite auf der Website umführe, auf der meine Website eingebettet ist, die übergeben wird durch in der URL.

Beispiel PHP-Code

Die Remote-Website leitet den Benutzer an weiter

http://clientname.example.com/init.php?redir=http://www.domain.com/shop/frame

init.php

<?php
// set a cookie for a year
setcookie('initialized','1',time() + 3600 * 24 * 365, '/', '.domain.com', false, false);
header('location: ' . $_GET['redir']);
die;

Der Benutzer landet dort, http://www.domain.com/shop/framewo meine Website eingebettet ist, speichert Sitzungen wie gewünscht und isst Cookies.

Hoffe das hilft jemandem.

Lassen Sie mich meinen Fix in ASP.NET MVC 4 teilen. Die Hauptidee wie in der richtigen Antwort für PHP. Der nächste Code, der im Hauptlayout in der Kopfzeile neben den Skripten hinzugefügt wurde:

@if (Request.Browser.Browser=="Safari")
{
    string pageUrl = Request.Url.GetLeftPart(UriPartial.Path);
    if (Request.Params["safarifix"] != null && Request.Params["safarifix"] == "doSafariFix")
    {
        Session["IsActiveSession"] = true;
        Response.Redirect(pageUrl);
        Response.End();
    }
        else if(Session["IsActiveSession"]==null)
    {
        <script>top.window.location = "?safarifix=doSafariFix";</script>
    }
}

Diese Lösung gilt in einigen Fällen - wenn möglich:

Wenn die Iframe-Inhaltsseite eine Subdomain der Seite verwendet, die den Iframe enthält, wird das Cookie nicht mehr blockiert.

Google hat die Katze tatsächlich aus der Tasche gelassen. Sie benutzten es für eine Weile, um auf Tracking-Cookies zuzugreifen. Es wurde fast sofort von Apple = \ behoben

Originaler Beitrag im Wall Street Journal

Hier ist ein Code, den ich benutze. Ich habe festgestellt, dass Cookies von nun an auf magische Weise im Iframe funktionieren, wenn ich Cookies von meiner Website setze.

http://developsocialapps.com/foundations-of-a-facebook-app-framework/

 if (isset($_GET['setdefaultcookie'])) {
        // top level page, set default cookie then redirect back to canvas page
        setcookie ('default',"1",0,"/");
        $url = substr($_SERVER['REQUEST_URI'],strrpos($_SERVER['REQUEST_URI'],"/")+1);
        $url = str_replace("setdefaultcookie","defaultcookieset",$url);
        $url = $facebookapp->getCanvasUrl($url);
        echo "<html>\n<body>\n<script>\ntop.location.href='".$url."';\n</script></body></html>";
        exit();
    } else if ((!isset($_COOKIE['default'])) && (!isset($_GET['defaultcookieset']))) {
        // no default cookie, so we need to redirect to top level and set
        $url = $_SERVER['REQUEST_URI'];
        if (strpos($url,"?") === false) $url .= "?";
        else $url .= "&";
        $url .= "setdefaultcookie=1";
        echo "<html>\n<body>\n<script>\ntop.location.href='".$url."';\n</script></body></html>";
        exit();
    }

Eine etwas einfachere Version in PHP von dem, was andere gepostet haben:

if (!isset($_COOKIE, $_COOKIE['PHPSESSID'])) {
    print '<script>top.window.location="https://example.com/?start_session=true";</script>';
    exit();
}

if (isset($_GET['start_session'])) {
    header("Location: https://apps.facebook.com/YOUR_APP_ID/");
    exit();
}

Ich habe die perfekte Antwort darauf gefunden, alles dank eines Mannes namens Allan, der hier alle Ehre verdient. ( http://www.allannienhuis.com/archives/2013/11/03/blocked-3rd-party-session-cookies-in-iframes/ )

Seine Lösung ist einfach und leicht zu verstehen.

Fügen Sie auf dem iframe-Inhaltsserver (Domäne 2) auf der Ebene der Stammdomäne eine Datei mit dem Namen Startsession.php hinzu, die Folgendes enthält:

<?php
// startsession.php
session_start();
$_SESSION['ensure_session'] = true;
die(header('location: '.$_GET['return']));

Auf der Website der obersten Ebene, die den Iframe (Domäne1) enthält, sollte der Aufruf der Seite mit dem Iframe folgendermaßen aussehen:

<a href="https://domain2/startsession.php?return=http://domain1/pageWithiFrame.html">page with iFrame</a>

Und das ist es! Simples :)

Der Grund dafür ist, dass Sie den Browser an eine URL eines Drittanbieters weiterleiten und ihn daher anweisen, ihm zu vertrauen, bevor Sie Inhalte aus ihm im iframe anzeigen.

Ich habe den modifizierten Whiteagle-Trick verwendet (dem Sign einen signierten_Anforderungsparameter hinzugefügt) und er hat für Safari funktioniert, aber der IE aktualisiert die Seite in diesem Fall ständig. Meine Lösung für Safari und Internet Explorer lautet also:

$fbapplink = 'https://apps.facebook.com/[appnamespace]/';
$isms = stripos($_SERVER['HTTP_USER_AGENT'], 'msie') !== false;

// safari fix
if(! $isms  && !isset($_SESSION['signed_request'])) {

    if (isset($_GET["start_session"])) {
        $_SESSION['signed_request'] = $_GET['signed_request'];
        die(header("Location:" . $fbapplink ));

    }
    if (!isset($_GET["sid"])) {
        die(header("Location:?sid=" . session_id() . '&signed_request='.$_REQUEST['signed_request']));
    }
    $sid = session_id();
    if (empty($sid) || $_GET["sid"] != $sid) {
    ?>
    <script>
        top.window.location="?start_session=true";
    </script>
    <?php
    exit;
    }
}

// IE fix
header('P3P: CP="CAO PSA OUR"');
header('P3P: CP="HONK"');


.. later in the code

$sr = $_REQUEST['signed_request'];
if($sr) {
        $_SESSION['signed_request'] = $sr;
} else {
        $sr = $_SESSION['signed_request'];
}

Ich habe auch unter diesem Problem gelitten, aber endlich die Lösung gefunden. Zunächst direkt das Laden der Iframe-URL in den Browser wie ein kleines Popup, dann nur auf die Sitzungswerte innerhalb des Iframes zugreifen.

Ich habe kürzlich das gleiche Problem bei Safari festgestellt. Die Lösung, die ich herausgefunden habe, basiert auf der HTML5-API für lokalen Speicher. Mit Local Storage können Sie Cookies emulieren.

Hier ist mein Blog-Beitrag mit Details: http://log.scalemotion.com/2012/10/how-to-trick-safari-and-set-3rd-party.html

Ich beschloss, die $_SESSIONVariable alle zusammen loszuwerden und schrieb einen Wrapper um Memcache, um die Sitzung nachzuahmen.

Überprüfen Sie https://github.com/manpreetssethi/utils/blob/master/Session_manager.php

Anwendungsfall: Sobald ein Benutzer in der App landet, speichern Sie die signierte Anforderung mit dem Session_manager. Da sie sich im Cache befindet, können Sie von nun an auf jeder Seite darauf zugreifen.

Hinweis: Dies funktioniert nicht, wenn Sie privat in Safari surfen, da die Sitzungs-ID jedes Mal zurückgesetzt wird, wenn die Seite neu geladen wird. (Dumme Safari)

Sie können dieses Problem beheben, indem Sie den Header als p3p-Richtlinie hinzufügen. Ich hatte das gleiche Problem auf Safari. Nachdem Sie den Header über den Dateien hinzugefügt haben, ist mein Problem behoben.

<?php
header('P3P:CP="IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT"');
?>