質問編集履歴
2
HTTPリクエストなど情報追加
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -38,4 +38,109 @@
|
|
|
38
38
|
このtokenの参照や照合が怪しいと調べているのですが、解決方法が分からず。
|
|
39
39
|
|
|
40
40
|
cookieやsession、token周辺の知識が乏しいため、どうかご教授いただけないでしょうか。
|
|
41
|
-
何卒宜しくお願いいたします。
|
|
41
|
+
何卒宜しくお願いいたします。
|
|
42
|
+
|
|
43
|
+
### 追記
|
|
44
|
+
axios.postを使用しています
|
|
45
|
+
ルーティングはapi.phpで、ミドルウェアにapiを設定しています。
|
|
46
|
+
さらに、app/Http/Kernel.php の $middlewareGroups にて
|
|
47
|
+
App\Http\Middleware\VerifyCsrfToken を設定していました。
|
|
48
|
+
|
|
49
|
+
これを外せば、エラーは無くなりPOSTモ通りましたが、CSRFに対して脆弱性が残ってしまいます。
|
|
50
|
+
その画面でリロードをせず他の画面から遷移してくればPOSTは通るので不思議です
|
|
51
|
+
|
|
52
|
+
判明したこととして、エラーになったときはCookiesで
|
|
53
|
+
Response Cookiesの XSRF-TOKEN がありませんでした。
|
|
54
|
+
また、エラー1回目のPOSTの時に testapuri_session の値もrequestとresponseで違っていました。
|
|
55
|
+
|
|
56
|
+
###### リロードせずに、POSTが通るとき
|
|
57
|
+
・Request Cookies
|
|
58
|
+
|Name|value|Domain|...etc|
|
|
59
|
+
|:--|:--:|
|
|
60
|
+
|XSRF-TOKEN|AAAAAA|127.0.0.1|...|
|
|
61
|
+
|testapuri_session|BBBBB|127.0.0.1|...|
|
|
62
|
+
|
|
63
|
+
・Response Cookies
|
|
64
|
+
|Name|value|Domain|...etc|
|
|
65
|
+
|:--|:--:|
|
|
66
|
+
|XSRF-TOKEN|CCCCCC|127.0.0.1|...|
|
|
67
|
+
|testapuri_session|BBBBB|127.0.0.1|...|
|
|
68
|
+
|
|
69
|
+
###### リロードして、エラーになるとき
|
|
70
|
+
1回目、Response CookiesにXSRF-TOKENがない、sessionIdも違う
|
|
71
|
+
・Request Cookies
|
|
72
|
+
|Name|value|Domain|...etc|
|
|
73
|
+
|:--|:--:|
|
|
74
|
+
|XSRF-TOKEN|AAAAAA|127.0.0.1|...|
|
|
75
|
+
|testapuri_session|BBBBB|127.0.0.1|...|
|
|
76
|
+
|
|
77
|
+
・Response Cookies
|
|
78
|
+
|Name|value|Domain|...etc|
|
|
79
|
+
|:--|:--:|
|
|
80
|
+
|testapuri_session|DDDDD|127.0.0.1|...|
|
|
81
|
+
|
|
82
|
+
2回目以降、Response CookiesにXSRF-TOKENがない、sessionIdは同じになる
|
|
83
|
+
・Request Cookies
|
|
84
|
+
|Name|value|Domain|...etc|
|
|
85
|
+
|:--|:--:|
|
|
86
|
+
|XSRF-TOKEN|AAAAAA|127.0.0.1|...|
|
|
87
|
+
|testapuri_session|DDDDD|127.0.0.1|...|
|
|
88
|
+
|
|
89
|
+
・Response Cookies
|
|
90
|
+
|Name|value|Domain|...etc|
|
|
91
|
+
|:--|:--:|
|
|
92
|
+
|testapuri_session|DDDDD|127.0.0.1|...|
|
|
93
|
+
|
|
94
|
+
|
|
95
|
+
###### エラーになった時の、httpリクエストとレスポンスなどの情報です
|
|
96
|
+
```ここに言語を入力
|
|
97
|
+
URL: http://127.0.0.1:8000/testpage/1
|
|
98
|
+
|
|
99
|
+
# General
|
|
100
|
+
Request URL: http://127.0.0.1:8000/api/testpost
|
|
101
|
+
Request Method: POST
|
|
102
|
+
Status Code: 419 unknown status
|
|
103
|
+
Remote Address: 127.0.0.1:8000
|
|
104
|
+
Referrer Policy: strict-origin-when-cross-origin
|
|
105
|
+
|
|
106
|
+
# Response Headers
|
|
107
|
+
Access-Control-Allow-Origin: *
|
|
108
|
+
Cache-Control: no-cache, private
|
|
109
|
+
Connection: close
|
|
110
|
+
Content-Type: application/json
|
|
111
|
+
Date: Tue, 30 Nov 2021 12:54:45 GMT
|
|
112
|
+
Date: Tue, 30 Nov 2021 12:54:45 GMT
|
|
113
|
+
Host: 127.0.0.1:8000
|
|
114
|
+
Set-Cookie: testapuri_session=zMg8dCSHvH4jw5DzxHbva8PIiNDGS2PAqy6gNjvj; expires=Tue, 30-Nov-2021 14:54:45 GMT; Max-Age=7200; path=/; httponly; samesite=lax
|
|
115
|
+
X-Powered-By: PHP/7.4.13
|
|
116
|
+
X-RateLimit-Limit: 60
|
|
117
|
+
X-RateLimit-Remaining: 53
|
|
118
|
+
|
|
119
|
+
# Request Headers
|
|
120
|
+
Accept: application/json, text/plain, */*
|
|
121
|
+
Accept-Encoding: gzip, deflate, br
|
|
122
|
+
Accept-Language: ja,en-US;q=0.9,en;q=0.8
|
|
123
|
+
Connection: keep-alive
|
|
124
|
+
Content-Length: 17
|
|
125
|
+
Content-Type: application/json
|
|
126
|
+
Cookie: XSRF-TOKEN=eyJpdiI6IlNSemI4N2...長いので省略; testapuri_session=eyJpdiI6Im4vbjQ0KzAya0JZYmVV...長いので省略
|
|
127
|
+
Host: 127.0.0.1:8000
|
|
128
|
+
Origin: http://127.0.0.1:8000
|
|
129
|
+
Referer: http://127.0.0.1:8000/testpage/1
|
|
130
|
+
sec-ch-ua: " Not A;Brand";v="99", "Chromium";v="96", "Google Chrome";v="96"
|
|
131
|
+
sec-ch-ua-mobile: ?0
|
|
132
|
+
sec-ch-ua-platform: "macOS"
|
|
133
|
+
Sec-Fetch-Dest: empty
|
|
134
|
+
Sec-Fetch-Mode: cors
|
|
135
|
+
Sec-Fetch-Site: same-origin
|
|
136
|
+
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.55 Safari/537.36
|
|
137
|
+
X-Requested-With: XMLHttpRequest
|
|
138
|
+
X-XSRF-TOKEN: eyJpdiI6IlNSemI4N21...長いので省略
|
|
139
|
+
|
|
140
|
+
# エラー
|
|
141
|
+
{message: "CSRF token mismatch.", exception: "Symfony\Component\HttpKernel\Exception\HttpException",…}
|
|
142
|
+
exception: "Symfony\Component\HttpKernel\Exception\HttpException"
|
|
143
|
+
file: "/Users/username/Desktop/testProject/laravel-app/vendor/laravel/framework/src/Illuminate/Foundation/Exceptions/Handler.php"
|
|
144
|
+
line: 389
|
|
145
|
+
message: "CSRF token mismatch."
|
|
146
|
+
```
|
1
その他ツールでaxiosを追加
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -5,6 +5,8 @@
|
|
|
5
5
|
|Laravel|8.68.1|
|
|
6
6
|
|Vue.js|2.6.14|
|
|
7
7
|
|
|
8
|
+
その他ツール
|
|
9
|
+
componentでのHTTPクライアント : axios
|
|
8
10
|
### エラー発生手順
|
|
9
11
|
LaravelとVue.jsでSPAの掲示板的なWEBサービスを作成しています。
|
|
10
12
|
画面はホーム画面と、個別画面の2つがあります。
|
|
@@ -14,9 +16,9 @@
|
|
|
14
16
|
|
|
15
17
|
ここで、遷移したすぐの状態ならコメントができるのですが、
|
|
16
18
|
個別画面から、ブラウザをリロード(更新)をした後にコメントをすると、419エラーが発生します。
|
|
19
|
+
componentからのpostはaxiosでaxios.postを使用しています
|
|
17
20
|
|
|
18
21
|
|
|
19
|
-
|
|
20
22
|
```
|
|
21
23
|
Request Method: POST
|
|
22
24
|
Status Code: 419 unknown status
|