在網(wǎng)站群的建設(shè)中，各子站需要共享主站的footer等公共信息。同時主站的后臺管理也集成了各子站的管理，采取的方式是使用iframe嵌入各站的頁面。在本機開發(fā)環(huán)境中，沒有出現(xiàn)任何的問題。但是一放到測試環(huán)境中，便遇到session丟失的問題。

環(huán)境：應(yīng)用服務(wù)器采用tomcat6.0，各個站點單獨使用一個應(yīng)用服務(wù)器，部署在一臺物理服務(wù)器上。外部訪問采用同一個IP，但是不同的端口。
起初以為，IE它的安全策略默認(rèn)是會把iframe中的頁面站點認(rèn)為是不可信任的，它會阻止該站點傳過來的cookie（如果你在iframe中的URL跳轉(zhuǎn)是用的localhost,則不會被阻擋），所以因為沒法使用cookie了，session便失效了。解決的方法是在過濾器，或者被嵌入的頁面內(nèi)加入屬性為P3P的header信息。java為：response.addHeader("P3P","CP=CAO PSA OUR");但是依然沒有成功。網(wǎng)上的解決方案都是這么說，況且自己以前還弄過，都成功過，這次怎么弄都不好。
今天腦子安靜下來，仔細(xì)的分析這里面的原因。如果是IE的安全限制，但是火狐、google瀏覽器沒有這樣的限制，為什么這兩個瀏覽器也出現(xiàn)這樣的情況。這肯定不僅僅和跨域引起的P3P的安全問題有關(guān)。于是在本機測試，通過iframe引入測試環(huán)境中的鏈接，設(shè)置了P3P，發(fā)現(xiàn)一切正常。這就更說明了，測試環(huán)境中的問題絕對不是P3P的問題了。而且使用了同一個IP，也應(yīng)該沒有跨域的說法。那原因到底是什么呢？
慢慢的，我將視線注意到了端口上。這些網(wǎng)站的訪問方式都是：同一IP+不同端口，難道和端口有關(guān)系。上網(wǎng)搜，關(guān)于這方面的內(nèi)容太少了，但是總算在零星的資源中，找到了里面的原因。IP相同的兩個session對應(yīng)的cookie是一樣的，而不幸的是sessionID就保存在cookie中，這樣先訪問A，再訪問B的時候，B的sessionid會覆蓋A的sessionid。這個事情沒辦法解決，所以你不要搞兩個端口，最好是搞兩個IP。原來都是cookie惹的禍，它不會區(qū)分端口，造成這多個站點不斷的后來的覆蓋前面的，從而造成session的丟失。問題解決了，將相互有引用的應(yīng)用架構(gòu)在不同的虛擬主機中，或者映射不同的IP。