[TS] Referer 헤더가 null로 들어왔던 이유

1. 배경

보고자

   AP업체

 

문제점

   예약현황 선택 후 인증(카카오톡, 휴대폰) 시 예약페이지로 넘어가지 않고 Alert가 발생하며 메인페이지로 들어감

 

특이사항

  WAF 적용 전후의 로그 확인 결과, HTTP 헤더 중 Referer 헤더 값이 Null로 들어옴

 

2. 대응

WAF 단 확인   

• 차단 로그❌ 헤더 클로킹 예외 정책 영향 ❌
• GET 메소드를 통해 소스를 거치지 않고 직접 WAF, web을 거쳐 카카오 로그인 인증 시도

[상단 → WAF]

 

[WAF → web서버]

 

[카카오 인증 요청에 대한 응답, 인증 성공]

• GET 메소드를 이용해 소스를 거쳐 카카오 로그인 인증 시도

[소스 거친 인증 테스트(Referer 없음)]

• 결론: WAF 문제 아님

AP 연계 단 확인   

• 소스 확인 중 인증 페이지에서 특이점 발견!
  https://www.abc.de.kr/login/login.do?retUrl=http ~
  ↑ https 페이지에서 인증 후 연계된 정보가 http로 받아와져서 "Mixed Content" 정책에 위배되었기에 에러가 떴던 것 

3. 해결

소스 단에서 해당 부분 http에서 https로 수정