L'astuce des iframes de cookies tiers de Safari ne fonctionne plus ?

Question

Voici donc la énième revanche de la question " comment faire fonctionner les cookies tiers dans Safari ", mais je la pose à nouveau car je pense que les règles du jeu ont changé, peut-être après février 2012. L'une des astuces standard pour obtenir des cookies tiers dans Safari était la suivante : utiliser du javascript pour POST vers une iframe cachée. Cela permettait de faire croire à Safari que l'utilisateur avait interagi avec le contenu tiers et donc d'autoriser la création de cookies.

I pensez à Cette faille a été comblée à la suite du léger scandale où il a été révélé que Google utilisait cette astuce avec ses publicités. Au moins, en utilisant cette astuce, j'ai été complètement incapable de définir des cookies dans Safari. J'ai trouvé quelques publications aléatoires sur Internet qui affirmaient qu'Apple travaillait à la suppression de cette faille, mais je n'ai trouvé aucune information officielle.

En guise de solution de repli, j'ai même essayé de redessiner le cadre principal de la tierce partie de manière à ce que vous deviez cliquer sur un bouton avant que le contenu ne se charge, mais même ce niveau d'interaction directe n'a pas suffi à faire fondre le cœur froid de Safari.

Quelqu'un sait-il avec certitude si Safari a effectivement comblé cette lacune ? Si oui, existe-t-il d'autres solutions de contournement (autres que l'inclusion manuelle d'un identifiant de session dans chaque requête) ?

Answer 1

Je voulais juste laisser ici une solution simple et fonctionnelle qui ne nécessite pas d'interaction avec l'utilisateur .

Comme je l'ai déclaré dans un poste que j'ai fait :

En gros, tout ce que vous devez faire, c'est charger votre page sur top.location, créer la session et la rediriger vers facebook.

Ajoutez ce code en haut de votre index.php et mettre $page_url à l'onglet final/URL de votre application et vous verrez que votre application fonctionnera sans aucun problème.

<?php
    // START SAFARI SESSION FIX
    session_start();
    $page_url = "http://www.facebook.com/pages/.../...?sk=app_...";
    if (isset($_GET["start_session"]))
        die(header("Location:" . $page_url));

    if (!isset($_GET["sid"]))
        die(header("Location:?sid=" . session_id()));
    $sid = session_id();
    if (empty($sid) || $_GET["sid"] != $sid):
?>
   <script>
        top.window.location="?start_session=true";
    </script>
<?php
    endif;
    // END SAFARI SESSION FIX
?>

Note : Ce texte a été conçu pour Facebook, mais il pourrait fonctionner dans d'autres situations similaires.

---

Edit 20-Dec-2012 - Maintien de la demande signée :

Le code ci-dessus ne maintient pas les post-données des demandes, et vous perdriez la signed_request, si votre application repose sur des demandes signées, n'hésitez pas à essayer le code suivant :

Note : Cette version est encore en cours de test et peut être moins stable que la première version. Utilisez à vos risques et périls / Vos commentaires sont appréciés.

(Merci à CBroe pour m'avoir orienté dans la bonne direction ici permettant d'améliorer la solution)

// Start Session Fix
session_start();
$page_url = "http://www.facebook.com/pages/.../...?sk=app_...";
if (isset($_GET["start_session"]))
    die(header("Location:" . $page_url));
$sid = session_id();
if (!isset($_GET["sid"]))
{
    if(isset($_POST["signed_request"]))
       $_SESSION["signed_request"] = $_POST["signed_request"];
    die(header("Location:?sid=" . $sid));
}
if (empty($sid) || $_GET["sid"] != $sid)
    die('<script>top.window.location="?start_session=true";</script>');
// End Session Fix

Answer 2

Vous avez dit que vous étiez prêt à ce que vos utilisateurs cliquent sur un bouton avant que le contenu ne se charge. Ma solution consistait à faire en sorte qu'un bouton ouvre une nouvelle fenêtre du navigateur. Cette fenêtre établit un cookie pour mon domaine, rafraîchit l'ouvreur et se ferme ensuite.

Donc votre principal script pourrait ressembler à :

<?php if(count($_COOKIE) > 0): ?>
<!--Main Content Stuff-->
<?php else: ?>
<a href="http://stackoverflow.com/safari_cookie_fix.php" target="_blank">Click here to load content</a>
<?php endif ?>

Alors safari_cookie_fix.php ressemble à ça :

<?php
setcookie("safari_test", "1");
?>
<html>
    <head>
        <title>Safari Fix</title>
        <script type="text/javascript" src="/libraries/prototype.min.js"></script>
    </head>
    <body>
    <script type="text/javascript">
    document.observe('dom:loaded', function(){
        window.opener.location.reload();
        window.close();
    })
    </script>
    This window should close automatically
    </body>
</html>

Answer 3

J'ai trompé Safari avec un .htaccess :

#http://www.w3.org/P3P/validator.html
<IfModule mod_headers.c>
Header set P3P "policyref=\"/w3c/p3p.xml\", CP=\"NOI DSP COR NID CUR ADM DEV OUR BUS\""
Header set Set-Cookie "test_cookie=1"
</IfModule>

Et ça a cessé de fonctionner pour moi aussi. Toutes mes applications perdent la session dans Safari et sont redirigées hors de Facebook. Comme je suis pressé de réparer ces applications, je suis actuellement à la recherche d'une solution. Je vous tiendrai au courant.

Edit (2012-04-06) : Apparemment, Apple a "corrigé" le problème avec la version 5.1.4. Je suis sûr que c'est la réaction au Google-truc : "Un problème existait dans l'application de sa politique de cookies. Les sites web tiers pouvaient définir des cookies si la préférence "Bloquer les cookies" dans Safari était définie sur le paramètre par défaut de "De tiers et d'annonceurs". http://support.apple.com/kb/HT5190

Answer 4

Dans votre contrôleur Ruby on Rails, vous pouvez utiliser :

private

before_filter :safari_cookie_fix

def safari_cookie_fix
  user_agent = UserAgent.parse(request.user_agent) # Uses useragent gem!
  if user_agent.browser == 'Safari' # we apply the fix..
    return if session[:safari_cookie_fixed] # it is already fixed.. continue
    if params[:safari_cookie_fix].present? # we should be top window and able to set cookies.. so fix the issue :)
      session[:safari_cookie_fixed] = true
      redirect_to params[:return_to]
    else
      # Redirect the top frame to your server..
      render :text => "<script>alert('start redirect');top.window.location='?safari_cookie_fix=true&return_to=#{set_your_return_url}';</script>"
    end
  end
end

Answer 5

J'ai eu le même problème et aujourd'hui j'ai trouvé une solution qui fonctionne bien pour moi. Si l'agent utilisateur contient Safari et qu'aucun cookie n'est défini, je redirige l'utilisateur vers la boîte de dialogue OAuth :

<?php if ( ! count($_COOKIE) > 0 && strpos($_SERVER['HTTP_USER_AGENT'], 'Safari')) { ?>
<script type="text/javascript">
    window.top.location.href = 'https://www.facebook.com/dialog/oauth/?client_id=APP_ID&redirect_uri=MY_TAB_URL&scope=SCOPE';
</script>
<?php } ?>

Après l'authentification et la demande d'autorisations, la boîte de dialogue OAuth redirige vers mon URI dans l'emplacement supérieur. Il est donc possible d'installer des cookies. Pour toutes nos applications de canevas et d'onglet de page, j'ai déjà inclus le script suivant :

<script type="text/javascript">
    if (top.location.href==location.href) top.location.href = 'MY_TAB_URL';
</script>

Ainsi, l'utilisateur sera à nouveau redirigé vers l'onglet de la page Facebook avec une cookie valide déjà installé et la demande signée est à nouveau affichée.