Gedrag cookies in Vista/IE7 'protected mode'

Na een GET naar een bepaalde URL sturen we wat HTML terug naar de client, met een cookie. Als er vervolgens op een link in het stukje HTML geklikt wordt (verzoek naar hetzelfde subdomein als waar het cookie aan toegevoegd is op path /) , wordt het cookie netjes mee gestuurd. Tenminste, in Firefox, IE6, XP/IE7 en Vista/IE7 zonder protected mode. Schakel je de protected mode in Vista/IE7 in, dan wordt het cookie niet meer meegestuurd met het request.

Is er iemand die weet waarom dat zou kunnen zijn?

Bosmonster schreef op vrijdag 09 mei 2008 @ 17:11:
Misschien een stomme vraag, maar heb je het getest op verschillende systemen?

Ja, twee verschillende machines.

Verder kan het zijn dat ie de protected mode setting onthoud voor een van de pagina's (controleer dat even, misschien door al het spelen en switchen). Cookies zijn volgens mij niet gedeeld tussen de twee modes namelijk.

Ik heb het hele proces zowel met als zonder protected mode, zowel met als zonder halverwege van mode switchen geprobeerd. Resultaat: als de protected mode op het moment van de klik aanstaat, dan wordt het cookie niet meegestuurd, ongeacht of op het moment van opvragen van de pagina de protected mode aanstond.

Wat ik in de startpost was vergeten: later in het proces gaan er nog meer cookies heen en weer en die gaan allemaal wel prima.

[ Voor 15% gewijzigd door Confusion op 09-05-2008 17:20 ]

frickY schreef op vrijdag 09 mei 2008 @ 17:28:
Verstuur je ook een P3P header bij je cookie?

Er wordt een P3P header verstuurd, maar ik weet nog niet precies wat daar in staat. Een collega suggereerde ook al dat ik die moest controleren, maar ik heb nog geen tijd gehad om uit te zoeken of die dwars kan liggen. Een korte Google search op 'protected mode' en (variaties op) P3P liet in ieder geval geen enkele aanwijzing zien. (Ik zal de betreffende P3P header later posten; heb hem nu even niet bij de hand)

P3P: CP="NON DSP COR NID CURa PSAo OUR NOR STP UNI COM NAV"

Ik heb hier een redelijk uitleg gevonden. Nu nog uitvinden welke problematisch kan zijn

[ Voor 18% gewijzigd door Confusion op 09-05-2008 21:37 ]

Nou, ik kan het niet vinden. Het verband tussen cookies, P3P headers en de diverse security niveaus (sinds IE6) is duidelijk, maar daar loop ik niet tegenaan, want die security instellingen blijven gelijk. Het enige dat wordt aangezet is het vinkje 'protected mode'.