Descubrí que una aplicación web permite configurar ciertos valores de cookies a través de parámetros de solicitud. Cada parámetro de solicitud da como resultado un encabezado Set-Cookie separado. es decir, una solicitud como esta:
/url?cookie1=first_value&cookie2=second_value
da como resultado los siguientes encabezados:
Set-Cookie: cookie1=first_value
Set-Cookie: cookie2=second_value
Estos encabezados aparecen después del encabezado de la cookie de identificación de sesión, así que me imagino que debería poder arreglar la sesión usando un valor de cookie como el siguiente
first_value; another_cookie=another_value
URL que codifica el espacio, el punto y coma y los signos de igual. Sin embargo, una vez que la aplicación ve el punto y coma, simplemente se trunca hasta ese punto, por lo que el encabezado de respuesta se convierte en:
Set-Cookie: first_value
Mi pregunta es, qué otros delimitadores podría aceptar un navegador, o qué métodos podrían permitir que se omita el filtro.