일부 웹뷰에서 쿠키가 잘못 올라온다.
2015/08/19
오늘의 삽질 공유…
일부 안드로이드 웹뷰에서 올라오는 쿠키 값이 http 프로토콜을 준수하지 않는 값이 올라오는 경우가 있습니다.. 쿠키의 값에는 원래 컴마(,)를 사용할 수 없습니다만… 섞여 들어오는 경우가 드물게 발생하네요 (0.0003% 이하)
원인 추정은..
- 서버의 http response에서 cookie의 value에 컴마를 잘못 넣은 경우->단말측 브라우저가 토해야 되는데 걍 때려 박았을 가능성. 그런데 브라우저가 이정도 validation check 없이 걍 때려박는다면 스크립트 인젝션 가능성이 매우 높으므로 그대로 보안 홀이 될 것 같음.. 가능성은 희박하다.
- 아파치가 http header에서 cookie를 가져올 때 잘못 가져올 가능성.
-> apr 단위에서 header의 단위 tag에 대한 청크는 건들지 않고 그냥 패스 쓰루하므로 이럴 확률은 희박하다. (APR 레벨)
- 안드로이드 웹뷰가 어떤 이유로 쿠키를 잘못 보내고 있을 가능성…
- 기타 http header를 까보고 마싸지하는 proxy나 L7이 종단이나 양짝 터미널단에 있어서 풀고 묶는 와중에 잘못했을 가능성..
- 아몰랑.
[t:/] is not "technology - root". dawnsea, rss