<div class="gmail_quote">On Thu, Sep 22, 2011 at 3:16 AM, Ariya Hidayat <span dir="ltr"><<a href="mailto:ariya.hidayat@gmail.com">ariya.hidayat@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

"vulnerability" is a too strong word for this case.<br></blockquote><div><br></div><div>Right.  It's not really a security issue and more of a straight up ugly bug.  If I set my user agent to "blah blah\nwhoops I left a newline in there" I wouldn't expect my result to be "blah blah" when I pull the header on the server side.</div>

<div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<br>
The way I look it is more like enforcing this contract:<br>
<br>
  Setting a user agent should not falsify any other part of the HTTP<br>
header sent to the server.<br>
<br>
Note that some advanced QtWebKit-based browser may want to give its<br>
user the option to set a custom user agent. While it does make sense<br>
to enforce that contract at the level of the API user (i.e. in the<br>
said browser), it still does make sense to enforce it also within<br>
(Qt)WebKit.<br>
<font color="#888888"><br>
<br>
--<br>
Ariya Hidayat, <a href="http://ariya.ofilabs.com" target="_blank">http://ariya.ofilabs.com</a><br>
_______________________________________________<br>
webkit-qt mailing list<br>
<a href="mailto:webkit-qt@lists.webkit.org">webkit-qt@lists.webkit.org</a><br>
<a href="http://lists.webkit.org/mailman/listinfo.cgi/webkit-qt" target="_blank">http://lists.webkit.org/mailman/listinfo.cgi/webkit-qt</a><br>
</font></blockquote></div><br><br clear="all"><div><br></div>-- <br><span style="color:rgb(214, 214, 214);font-family:Helvetica;font-size:medium"><div style="color:rgb(0, 0, 0)"><font color="#D6D6D6">................................................................</font></div>

<div style="color:rgb(0, 0, 0)"><br></div><div style="color:rgb(0, 0, 0)"><b><font color="#2D770A">Sencha</font></b></div><div style="color:rgb(0, 0, 0)">Jarred Nicholls<font color="#5F5E5F">, </font><font color="#929292">Senior Software Architect</font></div>

<div><a href="http://twitter.com/jarrednicholls" style="color:rgb(0, 0, 204)" target="_blank"><font color="#003F72">@jarrednicholls<br></font></a></div></span><br>