Настройка междоменных файлов cookie в Safari

Из Safari Developer FAQ:

Safari поставляется с консервативной политикой файлов cookie, которая ограничивает запись файлов cookie только на страницы, выбранные ("перемещенные") пользователем. Эта консервативная политика по умолчанию может сбивать с толку сайты с фреймами, которые пытаются записывать файлы cookie и терпят неудачу.

Я не нашел способа обойти это.

Если это чего-то стоит, Chrome также не устанавливает файлы cookie, если вы используете метод добавления <script>, но если у вас есть скрытый <img> с тем же источником, Chrome работает в дополнение к остальным браузерам (за исключением, опять же, Сафари)

Вот решение, которое работает:

http://anantgarg.com/2010/02/18/cross-domain-cookies-in-safari/

Это может не сработать для всех, но я столкнулся с этой проблемой, потому что я обслуживал приложение React с другого хоста, чем API, и решение, которое в конечном итоге сработало, заключалось в использовании DNS:

Наш клиент обслуживается с www.company-name.com, а наш API находится на company-name.herokuapp.com. Создав запись CNAME api.company-name.com -> company-name.herokuapp.com и заставив наш клиент использовать этот субдомен для вызовов API, Safari перестал считать его "сторонним "cookie.

Положительным моментом является то, что задействовано очень мало кода, и все он использует хорошо зарекомендовавшие себя вещи ... Обратной стороной является то, что вам нужен некоторый контроль / владение хостом API, если вы собираетесь использовать https - им нужен действующий сертификат. для клиентского домена, иначе пользователи получат предупреждение о сертификате - так что это не сработает (по крайней мере, не для чего-то, ориентированного на конечного пользователя), если рассматриваемый API не принадлежит вам или партнеру.

Метод работы 2014-2016:

Вам нужно сделать window.open для домена / назначить cookie / закрыть всплывающее окно, домен теперь находится в безопасном списке.

Исходное сообщение @ Несколько файлов cookie PHP не работают в браузере iPad / iPhone < / а>

Есть небольшая уловка, если у них установлена ​​флеш-память.

Я не уверен, работает ли он по-прежнему или нет, но «Локальные общие объекты» Flash, также известные как Flash Cookies, могут помочь вам обойти политику Safari в отношении того же домена.

Руководство по локальному общему объекту

Однако это может быть сложно реализовать, мягко говоря.

• Статья вики о LSO

Кроме того, LSO становятся кошмаром для системы безопасности:

• Электронный центр информации о конфиденциальности в LSO
• Файлы cookie Flash: скрытый убийца конфиденциальности

Так что хорошенько подумайте, прежде чем использовать их.

Сообщение в скрытом <iframe> может позволить вам обойти это ограничение в Safari - http://gist.github.com/586182:

<?php
  header('P3P: CP=HONK');
  setcookie('test_cookie', '1', 0, '/');
?>
<div id="test_cookie" style="position: absolute; top: -10000px"></div>
<script>
  window.setTimeout(function() {
    if (document.cookie.indexOf('test_cookie=1') < 0) {
      var      
        name = 'test_cookie',
        div = document.getElementById(name),
        iframe = document.createElement('iframe'),
        form = document.createElement('form');

      iframe.name = name;
      iframe.src = 'javascript:false';
      div.appendChild(iframe);

      form.action = location.toString();
      form.method = 'POST';
      form.target = name;
      div.appendChild(form);

      form.submit();
    }
  }, 10);
</script>

В 2015 году есть подходящее решение для этой работы. Допустим, есть веб-сайт y.com, который включает iframe с сайтом x.com. Iframe x.com хочет сохранить файл cookie. Это не разрешено политикой Safari, однако y.com может их хранить. Таким образом, y.com должен прослушивать сообщения от x.com, а затем сохранять сам файл cookie.

var _cookieEvMth = window.addEventListener ? "addEventListener" : "attachEvent";
var _cookieEvAction = window[_cookieEvMth];
var _cookieEv = _cookieEvMth == "attachEvent" ? "onmessage" : "message";
_cookieEvAction(_cookieEv, function(evt){
  if(evt.data.indexOf('cookieset')!=-1){
    var datack = evt.data.split('|');
    YOUR_CUSTOM_COOKIE_SAVE_METHOD(datack[1],datack[2],datack[3]);
  }
},false);

Когда x.com необходимо сохранить файл cookie, он должен отправить сообщение на y.com:

window.parent.postMessage('cookieset|'+ckName+'|'+ckVal+'|'+days,'*');

Также вы можете поработать, чтобы отправить сообщение в iframe, если хотите прочитать файл cookie. Или вы можете включить его как параметр в URL-адрес iframe x.com, используя javascript:

iframe.setAttribute('url','x.com/?cookieval='+YOUR_COOKIE_GET_METHOD('cookiename'));

Обходной путь, который мы только что придумали в моей работе, состоял в том, чтобы установить cookie через window.open () - это может быть не оптимальным для вас (так как у вас будет открыто всплывающее окно уродливой задницы), но он сработал для нас . В любом случае нам нужно было открыть всплывающее окно для аутентификации OAuth.

Итак, суть того, что мы сделали, была:

1. Пользователь нажимает ссылку на B.com
2. Всплывающее окно открывается на A.com/setCookie
3. A.com устанавливает свой файл cookie, а затем перенаправляет его на B.com в нужное место

Опять же, действует не во всех решениях, но сработало в нашем. Надеюсь это поможет.

Я знаю, что этот вопрос довольно старый, но это помогло мне решить проблему с файлами cookie:

var cookieForm = document.createElement("form");
cookieForm.action = "A.com/setCookie?cache=1231213123";
cookieForm.method = "post";
document.body.appendChild(cookieForm);

cookieForm.submit();

Идея разместить форму публикации на странице, которая устанавливает ваши файлы cookie.

* РЕДАКТИРОВАТЬ * Сообщается, что это временное решение закрыто в WebKit.

Лука,

Хорошо, так что этому ответу два года, но ... вы можете установить cookie из iframe, если вы отправите форму в скрытый iframe. Вы можете сделать это, создав форму:

<form id="myiframe" action="http://yourdomain.com" method="POST" target="iframe_target">

Then in Javascript, get a reference to the form and call submit:

document.getElementsByTagName('form')[0].submit();

Вы можете прослушивать загрузку iframe или вы можете настроить страницу действия iframe на какой-то javascript, который сигнализирует о загрузке. Я тестировал это в Safari и Chrome, и он работает.

Ваше здоровье.

Возможно, прагматично создайте и щелкните ссылку с href="A.com/setCookie?cache=1231213123" и целевым атрибутом, указывающим на скрытый iframe. Это может обойти политику пользовательской навигации Safari для настройки файлов cookie (у меня нет Safari для тестирования).

Я провел обширное расследование по этому поводу, когда пытался развернуть сайт, который использовал Windows Live ID, который зависел от возможности устанавливать сторонние файлы cookie для выхода из системы. Это просто ... не сработало. Ничто из того, что мы могли сделать, не могло заставить его работать. Команда Live ID также провела обширное расследование, и их ответ был «не могу заставить это работать».

Обратите внимание на эту строку:

script.src = "A.com/setCookie?cache=1231213123";

Я не мог заставить это работать, пока не добавил http, т.е.

script.src = "http://A.com/setCookie?cache=1231213123";

Я нашел простое решение. Вам просто нужно в первый раз установить cookie, чтобы проверить, исходит ли запрос из того же источника или нет, если это не так, как обычно, вам нужно вернуть в iframe скрипт, который будет повторять этот запрос, уже имея разрешение на назначение cookie. После этого вы можете выполнить другой запрос напрямую через iframe, получив доступ к этому файлу cookie. Это помогло мне в моей системе отслеживания. Попробуйте, это хорошо работает.

Стоит отметить, что это ограничение в Safari не распространяется на поддомены. Поэтому, если вы напрямую посещаете sitea.com, вы можете установить файлы cookie с subdomain.sitea.com без прямого взаимодействия с пользователем (iframe / JavaScript).

Это было актуально для моего случая при разработке API. Если вы посещаете mysite.com и хотите, чтобы какой-то JavaScript взаимодействовал с вашим API, тогда, если API размещен на api.mysite.com, он будет работать в Safari.

Разместите этот код JavaScript на странице, выполняющей междоменные запросы, http://example1.com/index.html:

  <script>
  var gup = function(name, url) {
     if(!url) url = location.href;
     name = name.replace(/[\[]/,"\\\[").replace(/[\]]/,"\\\]");
     var regexS = "[\\?&]"+name+"=([^&#]*)";
     var regex = new RegExp( regexS );
     var results = regex.exec( url );
     return results == null ? null : results[1];
  }
  var isSafari = navigator.vendor && navigator.vendor.indexOf('Apple') > -1 && navigator.userAgent && !navigator.userAgent.match('CriOS');
  var n = gup("activated");
  if(isSafari && n == null) {
     //browser is Safari and cookies have not yet been activated
     var current_url = location.protocol + '//' + location.host + location.pathname;
     var query_string = '?callback=' + encodeURIComponent(current_url + '?activated=1');
     var new_url = 'http://example2.com/activate.php' + query_string;
     window.location.href = new_url;
  }
  //the rest of your code goes here, and you can now set cross-domain cookies on Safari
  </script>

Затем создайте файл на другом сервере, на котором должны быть установлены файлы cookie, http://example2.com/activate.php:

  <?php
  if(isset($_GET['callback'])) {
     header('Location: '.$_GET['callback']);
     exit();
  } else {
     //in case callback param is not set, simply go back to previous page
     echo "<script>";
     echo "window.history.back();";
     echo "</script>";
     exit();
  }
  ?>

Вот как это работает:

1. При первом посещении http://example1.com/index.html выполняется проверка, чтобы увидеть является ли браузер Safari и не существует ли параметр GET с именем «активировано». Если оба условия соблюдены (что произойдет при первом посещении браузера Safari), браузер будет перенаправлен на http://example2.com/activate.php с параметром GET, "обратный вызов", содержащим URL-адрес вызова, к которому добавлен параметр "активирован".

2. http://example2.com/activate.php просто перенаправляет обратно на URL-адрес, содержащийся в параметре GET , "Перезвоните".

3. Когда http://example1.index.html теперь попадает во второй раз после перенаправления на, GET Теперь будет установлен параметр "активировано", поэтому условие из шага 1 не будет выполняться, что позволит сценарию продолжить выполнение.

Это соответствует требованию Safari о том, чтобы браузер хотя бы один раз посетил сторонний домен, чтобы начать установку файлов cookie.

Попробуйте что-нибудь вроде:

var w = window.open("A.com/setCookie?cache=1231213123");
w.close();

Это может обойти политику безопасности Safari.

Вас не раздражает отсутствующий атрибут типа? -)

<script type="text/javascript">
  var head = document.getElementsByTagName("head")[0];
  var script = document.createElement("script");
  script.setAttribute("type","text/javascript");
  script.src = "A.com/setCookie?cache=1231213123";
  head.appendChild(script);
</script>