Facebook如何在画布页面上为iFrames设置跨域cookie？

Question

当我浏览Facebook的文档阅读有关画布应用程序时，我偶然发现了一个示例应用程序：http://developers.facebook.com/docs/samples/canvas。然而，当我通读他们的示例时，我对他们在iframe应用程序中使用cookie感到非常困惑。

一个小小的背景故事。

我已经尝试过将iframe用于可嵌入的小部件(与Facebook无关)，并且我发现了一些浏览器(Chrome、Safari等)。有严格的cookie策略，不允许在iframe中设置跨域cookie(另一方面，Firefox允许iframe在iframe中设置跨域cookie)。例如，如果foo.com有一个带有src="http://bar.com/widget"的iframe，则iframe小部件将无法为bar.com设置任何cookies，因此在iframe内持久化状态时将遇到问题: bar.com将在没有建立会话的情况下将来自小部件的每个请求(包括ajax请求)解释为新请求。我苦苦挣扎，找到了一种解决这个问题的方法，使用JSONP和javascript为foo.com设置cookie……

..。然后呢？

嗯，我在看示例canvas iframe Facebook应用程序，我注意到他们的应用程序(托管在runwithfriends.appspot.com上)能够使用当前用户的id以及runwithfriends.appspot.com域的其他一些参数来设置cookie u。它会在每次请求时发送这个cookie。而且它在Chrome和Firefox上都能工作！见鬼？Facebook是如何绕过Chrome的跨域cookie限制的？

(我现在已经知道答案了，但我想这可能会对任何想要弄清楚同样的事情的人有所帮助--我将在下面发布答案。)

Answer 1

因此iFrame实际上并没有为runwithfriends.appspot.com域设置u cookie。Facebook所做的就是创建一个表单，<form action="runwithfriends.appspot.com/..." target="name_of_iframe" method="POST">，并在页面加载时使用javascript提交表单。因为表单的目标是iframe，所以它不会重新加载页面...它只是将帖子的响应加载到iframe中。显然，即使是Chrome和其他具有严格cookie策略的浏览器，如果它们是POST请求，也会为跨域请求设置cookie……