在網站群的建設中,各子站需要共享主站的footer等公共信息。同時主站的后臺管理也集成了各子站的管理,采取的方式是使用iframe嵌入各站的頁面。在本機開發環境中,沒有出現任何的問題。但是一放到測試環境中,便遇到session丟失的問題。
環境:應用服務器采用tomcat6.0,各個站點單獨使用一個應用服務器,部署在一臺物理服務器上。外部訪問采用同一個IP,但是不同的端口。
起初以為,IE它的安全策略默認是會把iframe中的頁面站點認為是不可信任的,它會阻止該站點傳過來的cookie(如果你在iframe中的URL跳轉是用的localhost,則不會被阻擋),所以因為沒法使用cookie了,session便失效了。解決的方法是在過濾器,或者被嵌入的頁面內加入屬性為P3P的header信息。java為:response.addHeader("P3P","CP=CAO PSA OUR");但是依然沒有成功。網上的解決方案都是這么說,況且自己以前還弄過,都成功過,這次怎么弄都不好。
今天腦子安靜下來,仔細的分析這里面的原因。如果是IE的安全限制,但是火狐、google瀏覽器沒有這樣的限制,為什么這兩個瀏覽器也出現這樣的情況。這肯定不僅僅和跨域引起的P3P的安全問題有關。于是在本機測試,通過iframe引入測試環境中的鏈接,設置了P3P,發現一切正常。這就更說明了,測試環境中的問題絕對不是P3P的問題了。而且使用了同一個IP,也應該沒有跨域的說法。那原因到底是什么呢?
慢慢的,我將視線注意到了端口上。這些網站的訪問方式都是:同一IP+不同端口,難道和端口有關系。上網搜,關于這方面的內容太少了,但是總算在零星的資源中,找到了里面的原因。IP相同的兩個session對應的cookie是一樣的,而不幸的是sessionID就保存在cookie中,這樣先訪問A,再訪問B的時候,B的sessionid會覆蓋A的sessionid。這個事情沒辦法解決,所以你不要搞兩個端口,最好是搞兩個IP。原來都是cookie惹的禍,它不會區分端口,造成這多個站點不斷的后來的覆蓋前面的,從而造成session的丟失。問題解決了,將相互有引用的應用架構在不同的虛擬主機中,或者映射不同的IP。