Каков самый широкий заголовок P3P, который будет работать с IE?

"Средняя безопасность" в IE8 заявляет, что third-party cookies that save information that can be used to contact you without your explicit consent заблокированы.

Какой самый широкий заголовок P3P означает, что мы не собираем такую информацию и не будем блокировать IE?

Я хочу пропустить неприятные детали политики P3P и просто установить заголовок, который подразумевает минимальные юридические обязательства. Его семантика должна быть:

we collect everything except information that can be used to contact you.

... без указания чего-либо еще.

Обратите внимание, что большинство заголовков P3P являются включительно - если они не присутствуют, вам не разрешается использовать эту информацию для этой цели, поэтому заголовок P3P, который я ищу, должен содержать много флагов.

Ответ 1

Из моих тестов любой из этих атрибутов P3P предотвратит сохранение IE8 стороннего файла cookie:

CON, TEL, PHY, ONL, FIN, GOV

CON

Информация может использоваться для контакта с человеком по каналу связи, отличному от голосового телефона, для продвижения продукта или услуги. Это включает уведомление посетителей об обновлениях веб-сайта.

TEL

Информация может использоваться для связи с пользователем посредством голосовой телефонной связи для продвижения продукта или услуги.

PHY

Информация, которая позволяет человеку связаться или находиться в физическом мире - например, номер телефона или адрес.

ОНЛ

Информация, которая позволяет физическому лицу связаться или находиться в Интернете - например, по электронной почте. Часто эта информация не зависит от конкретного компьютера, используемого для доступа к сети. (См. Категорию COM)

FIN

Информация об отдельных финансах, включая статус счета и информацию о деятельности, такую как остаток на счете, историю платежей или овердрафта, а также информацию об индивидуальной покупке или использовании финансовых инструментов, включая информацию о кредитной или дебетовой карте.

Поэтому не включайте их, если вы хотите, чтобы IE8 не блокировал вас. Я обнаружил, что следующие флаги являются самыми широкими, легальными, но при этом хорошо работают с IE:

NON DSP LAW CUR ADM DEV TAI PSA PSD ЕГО НАШИ DEL IND UNI PUR COM NAV INT DEM CNT STA POL HEA PRE LOC IVD SAM IVA OTC

Ответ 2

"Я хочу пропустить неприятные детали политики P3P"

Можно установить заголовок P3P HTTP без допустимых атрибутов политики конфиденциальности.

Facebook делает это. Вот HTTP-заголовок P3P на facebook.com:

P3P: CP="Facebook does not have a P3P policy. Learn why here: http://fb.me/p3p"

Google тоже делает это:

p3p: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."

Это принято в Internet Explorer. Например, IE "высокая" настройка конфиденциальности блокирует все файлы cookie с веб-сайтов, на которых нет компактной политики конфиденциальности, но файлы cookie, сопровождаемые не политиками P3P, такими как выше, не блокируются.

Если вы реализуете такую политику, отличную от P3P, обязательно включите естественный язык, который объясняет, что это не настоящая политика P3P, избегайте использования слов, которые являются действительными токенами P3P, а также ссылаются на URL более длинного объяснения или на ваша реальная политика конфиденциальности вашего сайта.

ОБНОВЛЕНИЕ: В 2012 году Microsoft обвинила Google в обходе настроек конфиденциальности пользователей из-за этой практики, и они добавила "строгую проверку P3P" в IE 10 и 11. Когда он включен, он отклоняет файлы cookie, которые сопровождаются политиками P3P, содержащими токены undefined. Я считаю, что установка по умолчанию была отключена.

Microsoft наконец отказалась от P3P с Windows 10. Итак, для Edge (и IE 11 в Windows 10) политика P3P не имеет никакого отношения к принятию печенья.

Вы можете проверить заголовок запроса User-Agent, чтобы установить только заголовок P3P в затронутых версиях IE.

Ответ 3

Авторитетный список находится в MSDN. Искать на этой странице для Unsatisfactory Cookie Tags.