什么是与IE一起使用的最广泛的P3P头？

Question

IE8中的“中等安全性”指出third-party cookies that save information that can be used to contact you without your explicit consent被阻止。

什么是最广泛的P3P标题，意味着我们不收集这些信息，并且不会被IE阻止？

我想跳过P3P政策令人讨厌的细节，只需设置隐含最少法律义务的标题即可。它的语义应该是：

we collect everything except information that can be used to contact you. 

......没有指定其他任何东西。

请注意，大多数P3P标头都包含在内 - 如果它们不存在，则不允许为此目的使用这些信息 - 因此我正在查找的P3P标头应包含大量标志。

Answer 1

从我的测试中，这些P3P属性将阻止IE8从节约第三方的Cookie：

CON，TEL，PHY，ONL，FIN，GOV

CON

信息可用于通过语音电话以外的通信渠道与个人联系，以促销产品或服务。这包括通知访客关于网站的更新。

TEL

的信息可用于通过语音电话呼叫晋升的产品或服务的以接触个体。

PHY

信息允许个人以接触或位于在物理世界中 - 如电话号码或地址。

ONL

信息，允许个人接触或位于Internet上 - 如电子邮件。通常，这些信息与用于访问网络的特定计算机无关。 （见类别COM）

FIN

信息有关个人的财务状况，包括帐户状态和活动信息，如账户余额，支付或透支历史，以及有关个人购买或使用金融工具，包括信用卡或借记卡信息。

所以如果你不想让IE8阻止你，请不要包含它们。我发现下列标志是最广泛的，法律术语明智的，同时仍与IE运作良好：

NON DSP LAW CUR ADM DEV TAI PSA PSD HIS OUR DEL IND UNI PUR COM NAV INT DEM CNT STA POL HEA PRE LOC IVD SAM IVA OTC

Answer 2

权威列表为MSDN。在该页面中搜索Unsatisfactory Cookie Tags。

Answer 3

“我想跳过P3P政策的讨厌细节”

它可以设置一个P3P HTTP标头没有有效的紧凑隐私政策的属性。

Facebook会这样做。下面是从facebook.com的P3P HTTP标头：

P3P: CP="Facebook does not have a P3P policy. Learn why here: http://​fb.me/p3p" 

谷歌确实太：

p3p: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info." 

这是由Internet Explorer所接受。例如，IE的“高级”隐私设置会阻止所有来自不具有紧凑隐私策略的网站的Cookie，但不会阻止伴随上述P3P非策略的Cookie。

如果要实现这样的P3P非政策，一定要包括，说明它是不是真正的P3P策略，避免使用是有效的P3P令牌，并链接到较长的URL的话自然语言解释或您网站的真实隐私政策。

---

更新：在2012年，因为这种做法微软accused Google of bypassing user privacy settings，和他们added a "strict P3P validation" setting to IE 10 and 11。启用后，它会拒绝包含含有未定义标记的P3P策略的Cookie。我相信该设置默认是禁用的。

Microsoft finally gave up on P3P如视窗10的所以对于边缘（和在Windows 10 IE 11），P3P政策对接受cookie没有轴承。

您可以检查User-Agent请求标头，以便只在受影响的IE版本上设置P3P标头。