리디렉션시 IE9 사용자 에이전트 문제

Question

세션에서 사용자 에이전트 유효성 검사를 사용하고 있습니다. user-agent가 변경되면 우리는 세션을 삭제합니다.

하지만 Google의 oauth 리디렉션으로 IE9에 문제가 있습니다.

IE9는 우리의 위치를 ​​타격 할 때, IE가 유효 IE9 사용자 에이전트를 가지고있다

그래서 사용자 에이전트는

Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0) 

하지만 사용자 에이전트에서 리디렉션 이후되고있다

Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.2; .NET CLR 1.1.4322; .NET4.0C; .NET4.0E) 

그래서 세션 유효성 검사를위한 논리가이 경우 실패합니다. 세션의 보안을하지 않는 사용자 에이전트 검사를 추가 IE9 사용자 에이전트

Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0) 

Answer 1

에 폴백하는 IE를 강제로 IE9 어떤 방법이 있습니까. 공격자가 세션 ID를 가지며 사용자 에이전트가없는 조건은 없습니다. 귀하의 보안 시스템은 http://domain/?is_hacker=No과 동일합니다. 세션 보안을 강화하려면 쿠키 secuirty 플래그를 활성화하고이 허위 검사를 제거해야합니다.