常連

私は現在curlで情報を他のサイトにPOST送信して、送られたサイトでその送信を受信して、その内容をcookieに記録させようとしています。
具体的なコードは以下のとおりです。
【送信側】
```
//送信先
$url = 'https://******.jp/recieveinfo.php';
//送信データ
$param = array(
      'response' => '送信データ',
);
//curl初期化
$ch = curl_init();
//送信データのセット
curl_setopt($ch, CURLOPT_POSTFIELDS, http_build_query($param));
//送信先のセット
curl_setopt($ch, CURLOPT_URL, $url);
//curl実行
$response_json = curl_exec($ch);
$result = json_decode($response_json);
//curlを閉じる
curl_close($ch);
```
【受信側】（recieveinfo.php）
```ここに言語を入力
$response=$_POST['response'];
$flg=setcookie("cookie", $response, time() + 60 * 60 * 24 * 30,"/");   
```
これで受信側であるrecieveinfo.phpにおいて変数$responseには送信した「送信データ」が受信されていますし、setcookie関数の戻り値である$flgにはtrueが返ります。
しかし、setcookie関数で指定した「cookie」というクッキーはどこに記録されているのかわかりません。

サイトは送信側も受信側もWordPressサイトです。
しかし、受信側のrecieveinfo.phpはページのテンプレートファイルにはなっていません。

私の期待としてはsetcookieの第３引数で"/"を指定しているのでrecieveinfo.phpと同一のフォルダにあるpage-***.phpというテンプレートファイルに紐づいたページを開けばクッキーが見えると思ったのですが、どうやらそうはいかないようです。

ちなみに、受信側の処理で
```ここに言語を入力
require_once('*****/wp-load.php');
update_option('response', $_POST['response']);
```
として、Wordpressのオプションにセットすることはできています。
しかし、できるだけサーバーには記録するのは避けて、クライアントのストレージであるクッキーに情報を渡したいのです。

どなたか、私のコードの問題点をご教示いただけると幸いです。

setcookieで記録されたはずのクッキーの在りかがわかりません

### 実現したいこと

ブラウザを更新(F5)する際にセットしていたCookie情報を無効にしたい。

更新前Cookie情報
hoge="1234567890"

画面更新後Cookie情報
hoge="" もしくは keyのhogeごと削除されている

### 前提

セットされているCookieを取得し、指定したkey名のCookieを無効にする。


### ソースコード

key名を指定し有効期限を0に設定し無効を試みているのですが、画面再表示後のCookieに残ってしまっている。
ここでは、Cookie名「hoge」がセットされているので、maxAgeのオプションを0に指定しています。

```Java
Cookie cookies[] = request.getCookies();
NewCookie deleteCookie = null;

if(cookies != null){
    for(int i = 0; i < cookies.length; i++){
        if(cookies[i].getName().equals("hoge")) {
            deleteCookie = new NewCookie(cookies[i].getName(), cookies[i].getValue(), cookies[i].getPath(), cookies[i].getComain(), cookies[i].getComment(), 0, cookies[i].getSecure());
        }
    }
}


return Response.ok(Res).header("Set-Cookie", deleteCookie.toString()).build();

```

### 実行結果

更新前Cookie情報
hoge="1234567890"

上記ソースコード処理後、Chromeのデベロッパーツールで画面表示のリクエストヘッダーを確認すると、
Cookieの中にhoge="1234567890"が残ってしまっている。

### 試したこと

サイトを色々見ていたところ、オプションを省略せず指定する必要があるとの情報をみたので、7行目の部分は一通り設定しています。


### 環境情報

言語 : java8
OS : Windows

### 最後に
知識不足でもうしわけありませんが、ご教授よろしくお願いいたします。
また、情報の追加等ありましたら更新致します。

セットされているCookieを無効する方法

### 実現したいこと

Gmailのように、複数アカウントを持っていて、
アカウントAでログインした後に、画面右上のアカウント選択で別のアカウント（アカウントB）を選択すると別タブでアカウントBのGmail画面が表示され、本タブでログインしたアカウントAと別タブでログインしたアカウントB、
両方とも操作できるようになると思います。

このようなセッション管理の仕組みが知りたいです。技術的にどのような知識が必要でしょうか？

想定しているWEBアプリケーションの構成は、
javascriptのFWはvue.jsでSPA。
サーバサイドはサーバレス（AWS Lambda Java）のインフラアーキテクチャとなります。

ざっくりとした質問で恐縮ですが、詳しい方、ご教示頂けますと幸いです。
何卒宜しくお願致します。

同ブラウザ、別タブでそれぞれセッション管理がしたい

Djangoでログイン認証画面を作成しています。
そこでふと、疑問に思ったので、質問させてください。

ECサイトなどのショッピングサイトで、ログイン者の情報などをセッションとクッキーを使って管理していると思います。

例えば下記のような形式でセッションIDがクッキーに保存されているとき

```
(key)        (value)
SESSION_KEY: asioudasfdawefas
```

ChromeプラグインのEditThisCookieなどのツールを用いて、ブルートフォース攻撃でvalueを改変・編集をした場合に容易に第三者になりますしてログインされてしまうんじゃないかと思ってしまいました。

ログイン画面のときのブルートフォース攻撃は、認証に3回失敗したら、しばらく無効になるとか対策をよく見ますが、クッキー改変による不正ログインに対しては、対策があるとはまったく聞きませんし、見たこともありません。

もし、そのような対策がしかれているのであれば、ご教示いただけませんでしょうか？

逆に、対策がされていないとなると、世の中のログインサイトは自分が思っている以上に相当危険な場所なのでしょうか？

cookieとセッションの乗っ取りについて（セッションハイジャック）

様々なログインフォームがあるサイトでチェックボックスにチェックを入れて「ログイン状態を保存する」が出来るものがあります。

あれと同じものを作ろうとした場合、入力されたメアド、パスワードをクッキーに保存しておいて、ログインページが表示された際に、クッキーに保存されたメアド、パスワードがあったらセットするということをしているのでしょうか？

その場合、クッキーには生のパスワードが保存されると思いますが、クッキーは他の人がその人のパソコンを触れるなら見ることが出来る気がしますし、それでいいものなのか気になっています。

それとも、サーバ側でセッションの有効期限を無限にしてログアウトされないようにしてるのでしょうか？
それだとブラウザを閉じたらログアウトしてしまうような気もしますがそうではないでしょうか？

今どき、ブラウザやスマホの機能でパスワードを記憶してるからなくてもいいのかなという気もしないではないですが、ログアウトしないでずっとログインしていられるならそれもいいかなと考えています。

「ログイン状態を保存する」は通常何をしてる？

### 前提
Next.jsでAPI Routerにサーバーを立てそこに向けてaxios通信をしている

headerにcookieという名前で値を付与しているが、そもそもそのやり方が正しいのかわからない
### 実現したいこと
Axiosでcookieを送りたい

ディベロッパーツール→ネットワークのところにcookieのタブを表示させたい
![イメージ説明](https://ddjkaamml8q8x.cloudfront.net/questions/2023-01-08/fbf36834-b95e-4267-93a0-10e5689d28ce.png)
### 発生している問題・エラーメッセージ
axiosの設定でwithCredentials:trueにしても何も起こらない
![イメージ説明](https://ddjkaamml8q8x.cloudfront.net/questions/2023-01-08/31df6576-858c-41aa-980c-d7eb93d697a5.png)

フロント側から通信した場合
**Refused to set unsafe header "cookie"**というエラーでheaderに付与したcookieが送れない

サーバーサイドで通信した場合
headerに付与したcookieの値は送れている
### 該当のソースコード

フロント側で通信した場合(headerのcookieは送れない)
```
useEffect(()=>{
  axios.defaults.withCredentials=true
  
  axios({
    method:'POST',
    url:'/api/maker',
    headers:{cookie:'ttttt',withCredentials:true},
    withCredentials:true
        })
  .then(e=>{
    console.log(e.data)
   )
  })
},[])
```
サーバサイドで通信した場合(headerのcookieは送れているパターン)
```
    export const getServerSideProps = async (
      context: GetServerSidePropsContext,
    ) => {
          const create:AxiosInstance = axios.create({
            baseURL: 'http://localhost:3000',
            headers:{cookie:'ttttt',withCredentials:true},
            method:'POST',
            withCredentials:true
          })

      const res=await create({
        url:'/api/maker',
        withCredentials:true
      }).then((e)=>e)
     
      return {props:res.data}
    }
```
### 試したこと
フロントとサーバー側の両方で通信をすること
header内・外にwithCredentials:trueを記載すること
axios.defaults.withCredentials=trueで設定をすること

そもそもローカルホストだとcookieが使えないのでしょうか？


ご回答よろしくお願い致します


Axiosでcookieを送りたい

### 実現したいこと

ユーザーの同意を得て、その人のこれまでのWeb閲覧履歴を取得、もしくはトラッキングしたいです。具体的には、各Webサイトのタイトル（と可能であればその <description>）を取得しようとしています


### 発生している問題

SafariでサードパーティーCookieが禁止されているとの情報を確認しましたが（引用元：https://service.aainc.co.jp/product/letro/article/what-is-cookie ）、他のWeb閲覧履歴の取得方法が分からずにいます。Google社がサードパーティーCookieの代替としてTopics APIを開発中との情報も聞きましたが、まだテスト段階のようでした（引用元：https://www.capa.co.jp/archives/41164 ）

### 前提

できればWebアプリで完結させたいと考えていますが、難しいようであればブラウザ拡張機能やネイティブアプリの開発もやむなしと考えています

ユーザーのWeb閲覧履歴を取得する方法

### 発生している問題・エラーメッセージ
Next.js(Vercel) Express(APIGateway, LambdaをServerlessFrameworkで管理)
上記の構成でWebアプリケーションを開発しています。
認証でCookieを使用するのですが本番環境だとCookieがブラウザに保存されず困っております。

APIGateway周辺が問題なのかと思いましたが応答ヘッダーにはちゃんとSet-Cookie属性が付いているのでどこが原因なのかわからないです。
ブラウザはFireFoxとChromeで試しましたがどちらもダメでした。
エラー文も警告文も出ず途方に暮れているので何か原因らしきものがわかれば教えていただけると助かります。

####開発環境でのCookie
![開発環境](2ac4feffed221ffd3462900f153d071f.png)

####本番環境でのCookie(保存されていない)
![本番環境](28516dc7861e5652743d9d816eb894be.png)

####ブラウザのdeveloperConsole出力
```
POST
Schema: https
Host: https://acyt1ofpm9.execute-api.ap-northeast-1.amazonaws.com/dev/api/v1/auth/login
Filename: /dev/api/v1/auth/login

ステータス
200
OK
バージョンHTTP/2
転送量1.32 KB (382 バイト サイズ)
リファラーポリシーstrict-origin-when-cross-origin
```

```
応答ヘッダー
access-control-allow-credentials: true
access-control-allow-origin: https://mizuho-engineering-timecard-system.vercel.app
content-length: 386
content-type: application/json; charset=utf-8
date: Mon, 15 Nov 2021 14:04:46 GMT
etag: W/"182-3X2mEAg0rF0aNx3B2MUnxo2WQww"
set-cookie: refreshToken=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoi566h55CG6ICFIiwicm9sZSI6ImFkbWluIiwiaWF0IjoxNjM2OTg3NDg4LCJleHAiOjE2NDQ3NjM0ODh9.XcanhEVZDHsLWw-tKSRAUZmQvGFuH1cbSGGUqrRmpN8;
 Path=/; Secure; SameSite=None
vary: Origin
via: 1.1 64deaa7770e2273b39002266d56d8170.cloudfront.net (CloudFront)
x-amz-apigw-id: I2VXuF8wNjMFUeg=
x-amz-cf-id: -nIggNVibO-aX4w-wuGL0x0iSmwnjLgOi4IYDNCKugADqC6IhFV-0A==
x-amz-cf-pop: NRT12-C4
x-amzn-remapped-content-length: 386
x-amzn-requestid: 0c574b80-c141-4d29-973c-a2e7a8f6bfc6
x-amzn-trace-id: Root=1-619268fe-656b7847664c394d3e7f157f;Sampled=0
x-cache: Miss from cloudfront
x-powered-by: Express
``` 
```
要求ヘッダー
Accept
	application/json, text/plain, */*
Accept-Encoding
	gzip, deflate, br
Accept-Language
	ja,en-US;q=0.7,en;q=0.3
Authorization
	Bearer
Connection
	keep-alive
Content-Length
	43
Content-Type
	application/json
Cookie
	refreshToken=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoi566h55CG6ICFIiwicm9sZSI6ImFkbWluIiwiaWF0IjoxNjM2OTg3NDE1LCJleHAiOjE2NDQ3NjM0MTV9.FRln36Pl6XbkUWuE4aMsFimskyWAwbdo4yNd0XqBQZA
Host
	acyt1ofpm9.execute-api.ap-northeast-1.amazonaws.com
Origin
	https://mizuho-engineering-timecard-system.vercel.app
Referer
	https://mizuho-engineering-timecard-system.vercel.app/
Sec-Fetch-Dest
	empty
Sec-Fetch-Mode
	cors
Sec-Fetch-Site
	cross-site
TE
	trailers
User-Agent
	Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.140 Safari/537.36 Edge/18.17763
```
```
応答Cookie
refreshToken:
  path: "/"
  samesite: "None"
  secure: true
  value: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoi566h55CG6ICFIiwicm9sZSI6ImFkbWluIiwiaWF0IjoxNjM2OTg3NDg4LCJleHAiOjE2NDQ3NjM0ODh9.XcanhEVZDHsLWw-tKSRAUZmQvGFuH1cbSGGUqrRmpN8

要求Cookie
refreshToken: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoi566h55CG6ICFIiwicm9sZSI6ImFkbWluIiwiaWF0IjoxNjM2OTg3NDE1LCJleHAiOjE2NDQ3NjM0MTV9.FRln36Pl6XbkUWuE4aMsFimskyWAwbdo4yNd0XqBQZA
```
応答Cookieと要求CookieでrefreshTokenの値が違うのは関係ないでしょうか?

### プログラム側(Express)のコード

```ここに言語名を入力
..........


    if (process.env.NODE_ENV === "production") { //本番環境ではsameSite: "none"とsecure: trueを設定しないとコンソールで警告が出る
      res.cookie("refreshToken", refreshToken, { sameSite: "none", secure: true });
    } else {
      res.cookie("refreshToken", refreshToken);
    }


..........
```
関係ないかもしれませんが一応ServerlessFrameworkの構成ファイルも載せておきます
```serverlessyml
service: mizuho-timecard

provider:
  name: aws
  runtime: nodejs12.x
  region: ap-northeast-1
  iamRoleStatements:
    - Effect: Allow
      Action:
        - dynamodb:Query
        - dynamodb:Scan
        - dynamodb:GetItem
        - dynamodb:PutItem
        - dynamodb:UpdateItem
        - dynamodb:DeleteItem
      Resource:
        - arn:aws:dynamodb:${self:provider.region}:*:table/Timecards
        - arn:aws:dynamodb:${self:provider.region}:*:table/Timecards/index/*

package:
  exclude:
    - script/**
    - .git/**
    - test/**
    - src/**
    - README.md
    - .env

functions:
  timeCard:
    handler: dist/lambda.handler
    events:
      - http: ANY /
      - http: 'ANY {proxy+}'

resources:
  Resources:
    timecards:
      Type: AWS::DynamoDB::Table
      Properties:
        TableName: Timecards
        AttributeDefinitions:
          - AttributeName: user
            AttributeType: S
          - AttributeName: attendance
            AttributeType: S
        KeySchema:
          - AttributeName: user
            KeyType: HASH
          - AttributeName: attendance
            KeyType: RANGE
        GlobalSecondaryIndexes:
          - IndexName: usersIndex
            KeySchema:
              - AttributeName: attendance
                KeyType: HASH
            Projection:
              ProjectionType: ALL
            ProvisionedThroughput:
              ReadCapacityUnits: 1
              WriteCapacityUnits: 1
        ProvisionedThroughput:
          ReadCapacityUnits: 1
          WriteCapacityUnits: 1
        TimeToLiveSpecification:
          AttributeName: "expirationTime"
          Enabled: true
```

### 補足情報（FW/ツールのバージョンなど）

```
npm list --depth 0
mizuho-timecard@1.0.0 /home/kanta/workspace/mizuho-timecard/mizuho-timecard-backend
├── @fortawesome/free-solid-svg-icons@5.15.4
├── @fortawesome/react-fontawesome@0.1.16
├── @line/bot-sdk@7.4.0
├── @types/bcrypt@5.0.0
├── @types/cors@2.8.12
├── @types/csurf@1.11.2
├── @types/express-session@1.17.4
├── @types/express@4.17.13
├── @types/jest@27.0.2
├── @types/jsonwebtoken@8.5.5
├── @types/node-geocoder@3.24.2
├── @types/node@16.10.3
├── @types/sinon-express-mock@1.3.9
├── @types/supertest@2.0.11
├── @types/xlsx-populate@1.19.1 (git+ssh://git@github.com/JanLoebel/types-xlsx-populate.git#7ef81174e495fe9ef2689bd329499f81a2a93d43)
├── @typescript-eslint/eslint-plugin@5.3.1
├── @typescript-eslint/parser@5.3.1
├── @vendia/serverless-express@4.3.11
├── aws-sdk@2.995.0
├── bcrypt@5.0.1
├── body-parser@1.19.0
├── cors@2.8.5
├── csurf@1.11.0
├── dayjs@1.10.7
├── eslint-config-prettier@8.3.0
├── eslint@8.2.0
├── express-validator@6.12.2
├── express@4.17.1
├── faker@5.5.3
├── geo-position.ts@1.4.1
├── jest@27.2.5
├── jsonwebtoken@8.5.1
├── node-geocoder@3.27.0
├── nodemon@2.0.13
├── npm-run-all@4.1.5
├── prettier@2.4.1
├── rimraf@3.0.2
├── sinon-express-mock@2.2.1
├── sinon@11.1.2
├── supertest@6.1.6
├── ts-jest@27.0.5
├── ts-node-dev@1.1.8
├── ts-node@10.2.1
├── typescript@4.4.4
└── xlsx-populate@1.21.0
```
```
sls --version
Framework Core: 2.60.0 (standalone)
Plugin: 5.4.4
SDK: 4.3.0
Components: 3.17.1
```