[t:/]$ 지식_

일부 웹뷰에서 쿠키가 잘못 올라온다.

2015/08/19

오늘의 삽질 공유…

일부 안드로이드 웹뷰에서 올라오는 쿠키 값이 http 프로토콜을 준수하지 않는 값이 올라오는 경우가 있습니다.. 쿠키의 값에는 원래 컴마(,)를 사용할 수 없습니다만… 섞여 들어오는 경우가 드물게 발생하네요 (0.0003% 이하)

원인 추정은..

  1. 서버의 http response에서 cookie의 value에 컴마를 잘못 넣은 경우->단말측 브라우저가 토해야 되는데 걍 때려 박았을 가능성. 그런데 브라우저가 이정도 validation check 없이 걍 때려박는다면 스크립트 인젝션 가능성이 매우 높으므로 그대로 보안 홀이 될 것 같음.. 가능성은 희박하다.
  2. 아파치가 http header에서 cookie를 가져올 때 잘못 가져올 가능성. -> apr 단위에서 header의 단위 tag에 대한 청크는 건들지 않고 그냥 패스 쓰루하므로 이럴 확률은 희박하다. (APR 레벨)
  3. 안드로이드 웹뷰가 어떤 이유로 쿠키를 잘못 보내고 있을 가능성…
  4. 기타 http header를 까보고 마싸지하는 proxy나 L7이 종단이나 양짝 터미널단에 있어서 풀고 묶는 와중에 잘못했을 가능성..
  5. 아몰랑.








[t:/] is not "technology - root". dawnsea, rss