L'analyse touche à sa fin. J'ai finalement réussi à regarder le flux à l'entrée de notre réseau, les headers étaient déjà bien manquants en arrivant.
Il semblerait, aussi surprenant que cela puisse paraître, que FF dans certains cas semble n'envoyer qu'une partie des headers (!!??!!). On n'est pas les seuls à le constater, même si on n'est pas nombreux :
https://bugzilla.mozilla.org/show_bug.cgi?id=646378
Bref on a mis en place une autre solution pour contourner.
Je tenais quand même à partager le constat avec vous, c'est bon à savoir que parfois FF ne renvoi pas les headers attendus !
A+
Le 17/05/2011 11:58, Sébastien FOUTREL a écrit :
Il est possible que certains outils suppriment une partie des headers considérés comme "en trop" :) donc de temps en temps, la requete a pas trop de headers donc ton header reste, et de temps en temps y'en a de trop alors on vire les derniers. Et HOP. Varnish fait ça dans sa config par defaut par exemple.
Cordialement Sebastien FOUTREL
Le 17 mai 2011 08:52, Valentin Surrel valentin@surrel.org a écrit :
On 27/04/2011 11:37, Valentin Surrel wrote:
Afin de pister un bug bien velu,
Bon ça y est, c'est isolé !
Chaque requête POST envoit un header X-CSRFToken (via le framework utilisé) et nos serveurs d'applis sont configurés pour invalider la session si le X-CSRFToken est manquant/faux. En l'occurence, les requêtes POST des clients impactés ne comportent pas, de temps en temps uniquement, ce header.
C'est donc "workaroundable", en attendant de voir quelle est la cause de ce header HTTP qui disparaît... Savez-vous si les trucs du genre "Norton Internet Security" ou autres supers logiciels de ce genre ont pour habitude d'altérer les entêtes HTTP ?
A+ Valentin _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/