teratail
回答率
85.46%
質問するログイン新規登録
トップに関する質問LaravelとVue.jsの環境で遷移先でリロードした後にPOSTのAPIを叩くと419エラーになる

編集履歴

質問編集履歴

2

HTTPリクエストなど情報追加

2021/11/30 13:27

投稿

okhead
okhead

スコア0

test CHANGED
File without changes
test CHANGED
@@ -79,3 +79,213 @@
79
79
  cookieやsession、token周辺の知識が乏しいため、どうかご教授いただけないでしょうか。
80
80
 
81
81
  何卒宜しくお願いいたします。
82
+
83
+
84
+
85
+ ### 追記
86
+
87
+ axios.postを使用しています
88
+
89
+ ルーティングはapi.phpで、ミドルウェアにapiを設定しています。
90
+
91
+ さらに、app/Http/Kernel.php の $middlewareGroups にて
92
+
93
+ App\Http\Middleware\VerifyCsrfToken を設定していました。
94
+
95
+
96
+
97
+ これを外せば、エラーは無くなりPOSTモ通りましたが、CSRFに対して脆弱性が残ってしまいます。
98
+
99
+ その画面でリロードをせず他の画面から遷移してくればPOSTは通るので不思議です
100
+
101
+
102
+
103
+ 判明したこととして、エラーになったときはCookiesで
104
+
105
+ Response Cookiesの XSRF-TOKEN がありませんでした。
106
+
107
+ また、エラー1回目のPOSTの時に testapuri_session の値もrequestとresponseで違っていました。
108
+
109
+
110
+
111
+ ###### リロードせずに、POSTが通るとき
112
+
113
+ ・Request Cookies
114
+
115
+ |Name|value|Domain|...etc|
116
+
117
+ |:--|:--:|
118
+
119
+ |XSRF-TOKEN|AAAAAA|127.0.0.1|...|
120
+
121
+ |testapuri_session|BBBBB|127.0.0.1|...|
122
+
123
+
124
+
125
+ ・Response Cookies
126
+
127
+ |Name|value|Domain|...etc|
128
+
129
+ |:--|:--:|
130
+
131
+ |XSRF-TOKEN|CCCCCC|127.0.0.1|...|
132
+
133
+ |testapuri_session|BBBBB|127.0.0.1|...|
134
+
135
+
136
+
137
+ ###### リロードして、エラーになるとき
138
+
139
+ 1回目、Response CookiesにXSRF-TOKENがない、sessionIdも違う
140
+
141
+ ・Request Cookies
142
+
143
+ |Name|value|Domain|...etc|
144
+
145
+ |:--|:--:|
146
+
147
+ |XSRF-TOKEN|AAAAAA|127.0.0.1|...|
148
+
149
+ |testapuri_session|BBBBB|127.0.0.1|...|
150
+
151
+
152
+
153
+ ・Response Cookies
154
+
155
+ |Name|value|Domain|...etc|
156
+
157
+ |:--|:--:|
158
+
159
+ |testapuri_session|DDDDD|127.0.0.1|...|
160
+
161
+
162
+
163
+ 2回目以降、Response CookiesにXSRF-TOKENがない、sessionIdは同じになる
164
+
165
+ ・Request Cookies
166
+
167
+ |Name|value|Domain|...etc|
168
+
169
+ |:--|:--:|
170
+
171
+ |XSRF-TOKEN|AAAAAA|127.0.0.1|...|
172
+
173
+ |testapuri_session|DDDDD|127.0.0.1|...|
174
+
175
+
176
+
177
+ ・Response Cookies
178
+
179
+ |Name|value|Domain|...etc|
180
+
181
+ |:--|:--:|
182
+
183
+ |testapuri_session|DDDDD|127.0.0.1|...|
184
+
185
+
186
+
187
+
188
+
189
+ ###### エラーになった時の、httpリクエストとレスポンスなどの情報です
190
+
191
+ ```ここに言語を入力
192
+
193
+ URL: http://127.0.0.1:8000/testpage/1
194
+
195
+
196
+
197
+ # General
198
+
199
+ Request URL: http://127.0.0.1:8000/api/testpost
200
+
201
+ Request Method: POST
202
+
203
+ Status Code: 419 unknown status
204
+
205
+ Remote Address: 127.0.0.1:8000
206
+
207
+ Referrer Policy: strict-origin-when-cross-origin
208
+
209
+
210
+
211
+ # Response Headers
212
+
213
+ Access-Control-Allow-Origin: *
214
+
215
+ Cache-Control: no-cache, private
216
+
217
+ Connection: close
218
+
219
+ Content-Type: application/json
220
+
221
+ Date: Tue, 30 Nov 2021 12:54:45 GMT
222
+
223
+ Date: Tue, 30 Nov 2021 12:54:45 GMT
224
+
225
+ Host: 127.0.0.1:8000
226
+
227
+ Set-Cookie: testapuri_session=zMg8dCSHvH4jw5DzxHbva8PIiNDGS2PAqy6gNjvj; expires=Tue, 30-Nov-2021 14:54:45 GMT; Max-Age=7200; path=/; httponly; samesite=lax
228
+
229
+ X-Powered-By: PHP/7.4.13
230
+
231
+ X-RateLimit-Limit: 60
232
+
233
+ X-RateLimit-Remaining: 53
234
+
235
+
236
+
237
+ # Request Headers
238
+
239
+ Accept: application/json, text/plain, */*
240
+
241
+ Accept-Encoding: gzip, deflate, br
242
+
243
+ Accept-Language: ja,en-US;q=0.9,en;q=0.8
244
+
245
+ Connection: keep-alive
246
+
247
+ Content-Length: 17
248
+
249
+ Content-Type: application/json
250
+
251
+ Cookie: XSRF-TOKEN=eyJpdiI6IlNSemI4N2...長いので省略; testapuri_session=eyJpdiI6Im4vbjQ0KzAya0JZYmVV...長いので省略
252
+
253
+ Host: 127.0.0.1:8000
254
+
255
+ Origin: http://127.0.0.1:8000
256
+
257
+ Referer: http://127.0.0.1:8000/testpage/1
258
+
259
+ sec-ch-ua: " Not A;Brand";v="99", "Chromium";v="96", "Google Chrome";v="96"
260
+
261
+ sec-ch-ua-mobile: ?0
262
+
263
+ sec-ch-ua-platform: "macOS"
264
+
265
+ Sec-Fetch-Dest: empty
266
+
267
+ Sec-Fetch-Mode: cors
268
+
269
+ Sec-Fetch-Site: same-origin
270
+
271
+ User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.55 Safari/537.36
272
+
273
+ X-Requested-With: XMLHttpRequest
274
+
275
+ X-XSRF-TOKEN: eyJpdiI6IlNSemI4N21...長いので省略
276
+
277
+
278
+
279
+ # エラー
280
+
281
+ {message: "CSRF token mismatch.", exception: "Symfony\Component\HttpKernel\Exception\HttpException",…}
282
+
283
+ exception: "Symfony\Component\HttpKernel\Exception\HttpException"
284
+
285
+ file: "/Users/username/Desktop/testProject/laravel-app/vendor/laravel/framework/src/Illuminate/Foundation/Exceptions/Handler.php"
286
+
287
+ line: 389
288
+
289
+ message: "CSRF token mismatch."
290
+
291
+ ```

1

その他ツールでaxiosを追加

2021/11/30 13:27

投稿

okhead
okhead

スコア0

test CHANGED
File without changes
test CHANGED
@@ -11,6 +11,10 @@
11
11
  |Vue.js|2.6.14|
12
12
 
13
13
 
14
+
15
+ その他ツール
16
+
17
+ componentでのHTTPクライアント : axios
14
18
 
15
19
  ### エラー発生手順
16
20
 
@@ -30,7 +34,7 @@
30
34
 
31
35
  個別画面から、ブラウザをリロード(更新)をした後にコメントをすると、419エラーが発生します。
32
36
 
33
-
37
+ componentからのpostはaxiosでaxios.postを使用しています
34
38
 
35
39
 
36
40