IE 11 cookies de session propriétaires perdus dans iframe

Nous avons un site (www.example.com) qui envoie les utilisateurs vers une série de pages tierces pour vérifier les détails du paiement, ce que nous faisons dans un iframe. Initialement, une page locale de www.example.com est chargée dans l'iframe et l'utilisateur est redirigé vers l'URL tierce. Une fois que les étapes tierces sont terminées par l'utilisateur, elles sont 302 redirigées vers une page de notre site (www.example.com) dans l'iframe.

Cela fonctionne dans tous les navigateurs que nous avons testés, sauf IE 11, où nos cookies semblent être perdus. Nous avons vérifié cela sous Windows 7 et 8.1, en modes bureau et "Metro", et le problème concerne toutes les versions.

Lorsqu'un utilisateur navigue sur notre site, nous définissons un cookie de session, qui est correctement envoyé à la page propriétaire qui est initialement chargée dans l'iframe. Cependant, une fois que l'utilisateur a parcouru certaines pages tierces dans cet iframe, le cookie de session n'est pas envoyé avec la prochaine demande.

Si nous définissons le paramètre de confidentialité de IE 11 sur la valeur la plus basse, ce problème disparaît et les choses fonctionnent comme prévu.

Toutes les solutions potentielles que j'ai trouvées jusqu'à présent concernent les en-têtes P3P. Nous avons un en-tête P3P valide et correct et un fichier de stratégie XML configuré, et ce problème se produit uniquement dans IE 11.

Mise à jour: Nous avons quelques autres cookies définis en utilisant JS. Tout cela persiste comme prévu. Les différences sont la date d'expiration (1 an pour les cookies JS, 1 mois pour le cookie de session), le domaine (explicitement "example.com" pour les cookies JS, vide pour le cookie de session) et s'ils sont "HTTP uniquement" (faux pour JS cookies, vrai pour le cookie de session).

J'ai essayé de définir toutes ces options selon les cookies JS pour le cookie de session, mais cela n'a fait aucune différence.

pdate 2: Après plus de tests, je n'ai pas pu créer un cas de test qui recrée ce problème. Tous les cookies supplémentaires avec lesquels j'essaie de tester dans le code en direct semblent également être rompus, même s'ils sont définis avec exactement le même code que les cookies JS qui fonctionnent. En bref; Je n'ai pas encore trouvé de modèle pour les cookies qui fonctionnent et ceux qui ne fonctionnent pas.

Une chose potentiellement intéressante à noter est que les cookies ne sont pas supprimés, ils ne sont tout simplement pas envoyés à la demande finale. Si une autre page est chargée, les cookies réapparaissent comme par magie et sont envoyés; ce qui m'amène à croire qu'il s'agit d'un bug entourant les iframes et P3P.

Mise à jour 3 (jour 3): IE 11 continue de me confondre. Plus je voyage dans le labyrinthe de Microsoft, plus je me perds parmi ses murs changeants. Et il y a des fantômes ici. Des fragments de politiques de sécurité à moitié rêvées qui se sont tissées dans une créature éthérée, qui me suit et me nargue à chaque mouvement. la vue, mais à chaque heure qui passe, je trouve plus de réconfort dans la simple connaissance de sa proximité. Serait-ce la bête même que j'ai été envoyée ici pour affronter? Comment pourrais-je tuer mon seul compagnon dans ces moments-là?