常連

### 実現したいこと
wordpressー外観ーウィジェットに作成したformからgetで送信した値をcookieに保存したいと考えています。

### 発生している問題

以下の設定・記述を行っているのですがcookieの値が１つ前の段階で送信した$_GET[‘ageMin’]の値になっており困っております。想定通りにいっていない原因の究明方法・解決策などご教示お願いいたします。

例：１回目の$_GET[‘ageMin’]が25だった場合、２回目$_GET[‘ageMin’]の30を送信した時に固定ページで25と表示され、３回目の$_GET[‘ageMin’]を送信した時に30と表示されます。




setcookieを利用するために、function.phpに

```php
function my_setcookie(){
	if (isset($_GET['ageMin'])) {
		setcookie('ageMin', $_GET['ageMin'], 0, "/");
	}
}
add_action('get_header', 'my_setcookie');
```
と記述し、formで飛ぶ先の固定ページでphpを利用するためfunction.phpに

```php
function my_php_Include($params = array()) {
extract(shortcode_atts(array('file' => 'default'), $params));
ob_start();
include(STYLESHEETPATH . "/prf.php");
return ob_get_clean();
}
add_shortcode('call_php', 'my_php_Include');
```

と記述し固定ページで[call_php file=’prf’]として呼び出しています。

pref.phpには

```php
if (isset($_COOKIE['ageMin'])) {
        $ageMin = $_COOKIE['ageMin'];
    }
echo $ageMin;
```

と記述しています。














wordpressでsetcookie実行のタイミングが遅い

### 実現したいこと

Gmailのように、複数アカウントを持っていて、
アカウントAでログインした後に、画面右上のアカウント選択で別のアカウント（アカウントB）を選択すると別タブでアカウントBのGmail画面が表示され、本タブでログインしたアカウントAと別タブでログインしたアカウントB、
両方とも操作できるようになると思います。

このようなセッション管理の仕組みが知りたいです。技術的にどのような知識が必要でしょうか？

想定しているWEBアプリケーションの構成は、
javascriptのFWはvue.jsでSPA。
サーバサイドはサーバレス（AWS Lambda Java）のインフラアーキテクチャとなります。

ざっくりとした質問で恐縮ですが、詳しい方、ご教示頂けますと幸いです。
何卒宜しくお願致します。

同ブラウザ、別タブでそれぞれセッション管理がしたい

### 実現したいこと
laravelにてセッションタイムアウトを判定した段階で、タイムアウトになったsession_idを取得したい。

セッションタイムアウトとなったセッションidを取得し、そのセッションidで登録していたDBのレコードに更新処理をかけたい。

### 試したこと

handler.phpにてセッションタイムアウトを検知した際に、セッションidを出力するログを記載。
結果として、出力されたログはタイムアウトになったセッションidではなく、新しく生成されたセッションidが取得された。

### 補足情報（FW/ツールのバージョンなど）

無効なセッションを判定する際に
Illuminate\Auth\GuardHelpers.phpのcheck関数にて、リクエストされたセッションからユーザ情報を取得する処理をもって実施していることは確認済み。

一番不明なのは、無効になっているセッションをブラウザ側がリクエストとして投げないのか、リクエストとしては送信されており、サーバー側で無効なセッションかの判定をしてレスポンスで新しいセッションidを渡して、再度リクエストが来ているのかというところ。
後者であれば、無効なセッションがリクエストされた際にセッションidを取得したい。

laravel 9
細かい設定はいじっておらず、デフォルトのまま


セッションタイムアウト時にタイムアウトとなったセッションidを取得したい

## 実現したいこと
Google Cloud FunctionsでPython関数を実行しています。
別のアプリ内のイベント駆動WebhookによるPostリクエストを受信し、処理するための関数となります。

社内の脆弱性診断により、該当の関数において以下の通り診断されました。
> Missing `httpOnly` Cookie Attribute
この内容について知見がなく、調査をしていたところです。
（内容自体については理解できました。）

## 試したこと・質問事項
公式ドキュメントなど色々調べたのですが、
「Google Cloud Functionではcookieが使えない」という旨の記述も見ました。
そもそもクッキーを利用するようなことはしていないのですが、
`httpOnly`の設定は特に不要、または診断結果は無視できるものでしょうか？



Google Cloud Functions Python関数でのクッキー属性 "httpOnly" の設定

### 発生している問題・エラーメッセージ
Next.js(Vercel) Express(APIGateway, LambdaをServerlessFrameworkで管理)
上記の構成でWebアプリケーションを開発しています。
認証でCookieを使用するのですが本番環境だとCookieがブラウザに保存されず困っております。

APIGateway周辺が問題なのかと思いましたが応答ヘッダーにはちゃんとSet-Cookie属性が付いているのでどこが原因なのかわからないです。
ブラウザはFireFoxとChromeで試しましたがどちらもダメでした。
エラー文も警告文も出ず途方に暮れているので何か原因らしきものがわかれば教えていただけると助かります。

####開発環境でのCookie
![開発環境](2ac4feffed221ffd3462900f153d071f.png)

####本番環境でのCookie(保存されていない)
![本番環境](28516dc7861e5652743d9d816eb894be.png)

####ブラウザのdeveloperConsole出力
```
POST
Schema: https
Host: https://acyt1ofpm9.execute-api.ap-northeast-1.amazonaws.com/dev/api/v1/auth/login
Filename: /dev/api/v1/auth/login

ステータス
200
OK
バージョンHTTP/2
転送量1.32 KB (382 バイト サイズ)
リファラーポリシーstrict-origin-when-cross-origin
```

```
応答ヘッダー
access-control-allow-credentials: true
access-control-allow-origin: https://mizuho-engineering-timecard-system.vercel.app
content-length: 386
content-type: application/json; charset=utf-8
date: Mon, 15 Nov 2021 14:04:46 GMT
etag: W/"182-3X2mEAg0rF0aNx3B2MUnxo2WQww"
set-cookie: refreshToken=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoi566h55CG6ICFIiwicm9sZSI6ImFkbWluIiwiaWF0IjoxNjM2OTg3NDg4LCJleHAiOjE2NDQ3NjM0ODh9.XcanhEVZDHsLWw-tKSRAUZmQvGFuH1cbSGGUqrRmpN8;
 Path=/; Secure; SameSite=None
vary: Origin
via: 1.1 64deaa7770e2273b39002266d56d8170.cloudfront.net (CloudFront)
x-amz-apigw-id: I2VXuF8wNjMFUeg=
x-amz-cf-id: -nIggNVibO-aX4w-wuGL0x0iSmwnjLgOi4IYDNCKugADqC6IhFV-0A==
x-amz-cf-pop: NRT12-C4
x-amzn-remapped-content-length: 386
x-amzn-requestid: 0c574b80-c141-4d29-973c-a2e7a8f6bfc6
x-amzn-trace-id: Root=1-619268fe-656b7847664c394d3e7f157f;Sampled=0
x-cache: Miss from cloudfront
x-powered-by: Express
``` 
```
要求ヘッダー
Accept
	application/json, text/plain, */*
Accept-Encoding
	gzip, deflate, br
Accept-Language
	ja,en-US;q=0.7,en;q=0.3
Authorization
	Bearer
Connection
	keep-alive
Content-Length
	43
Content-Type
	application/json
Cookie
	refreshToken=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoi566h55CG6ICFIiwicm9sZSI6ImFkbWluIiwiaWF0IjoxNjM2OTg3NDE1LCJleHAiOjE2NDQ3NjM0MTV9.FRln36Pl6XbkUWuE4aMsFimskyWAwbdo4yNd0XqBQZA
Host
	acyt1ofpm9.execute-api.ap-northeast-1.amazonaws.com
Origin
	https://mizuho-engineering-timecard-system.vercel.app
Referer
	https://mizuho-engineering-timecard-system.vercel.app/
Sec-Fetch-Dest
	empty
Sec-Fetch-Mode
	cors
Sec-Fetch-Site
	cross-site
TE
	trailers
User-Agent
	Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.140 Safari/537.36 Edge/18.17763
```
```
応答Cookie
refreshToken:
  path: "/"
  samesite: "None"
  secure: true
  value: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoi566h55CG6ICFIiwicm9sZSI6ImFkbWluIiwiaWF0IjoxNjM2OTg3NDg4LCJleHAiOjE2NDQ3NjM0ODh9.XcanhEVZDHsLWw-tKSRAUZmQvGFuH1cbSGGUqrRmpN8

要求Cookie
refreshToken: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoi566h55CG6ICFIiwicm9sZSI6ImFkbWluIiwiaWF0IjoxNjM2OTg3NDE1LCJleHAiOjE2NDQ3NjM0MTV9.FRln36Pl6XbkUWuE4aMsFimskyWAwbdo4yNd0XqBQZA
```
応答Cookieと要求CookieでrefreshTokenの値が違うのは関係ないでしょうか?

### プログラム側(Express)のコード

```ここに言語名を入力
..........


    if (process.env.NODE_ENV === "production") { //本番環境ではsameSite: "none"とsecure: trueを設定しないとコンソールで警告が出る
      res.cookie("refreshToken", refreshToken, { sameSite: "none", secure: true });
    } else {
      res.cookie("refreshToken", refreshToken);
    }


..........
```
関係ないかもしれませんが一応ServerlessFrameworkの構成ファイルも載せておきます
```serverlessyml
service: mizuho-timecard

provider:
  name: aws
  runtime: nodejs12.x
  region: ap-northeast-1
  iamRoleStatements:
    - Effect: Allow
      Action:
        - dynamodb:Query
        - dynamodb:Scan
        - dynamodb:GetItem
        - dynamodb:PutItem
        - dynamodb:UpdateItem
        - dynamodb:DeleteItem
      Resource:
        - arn:aws:dynamodb:${self:provider.region}:*:table/Timecards
        - arn:aws:dynamodb:${self:provider.region}:*:table/Timecards/index/*

package:
  exclude:
    - script/**
    - .git/**
    - test/**
    - src/**
    - README.md
    - .env

functions:
  timeCard:
    handler: dist/lambda.handler
    events:
      - http: ANY /
      - http: 'ANY {proxy+}'

resources:
  Resources:
    timecards:
      Type: AWS::DynamoDB::Table
      Properties:
        TableName: Timecards
        AttributeDefinitions:
          - AttributeName: user
            AttributeType: S
          - AttributeName: attendance
            AttributeType: S
        KeySchema:
          - AttributeName: user
            KeyType: HASH
          - AttributeName: attendance
            KeyType: RANGE
        GlobalSecondaryIndexes:
          - IndexName: usersIndex
            KeySchema:
              - AttributeName: attendance
                KeyType: HASH
            Projection:
              ProjectionType: ALL
            ProvisionedThroughput:
              ReadCapacityUnits: 1
              WriteCapacityUnits: 1
        ProvisionedThroughput:
          ReadCapacityUnits: 1
          WriteCapacityUnits: 1
        TimeToLiveSpecification:
          AttributeName: "expirationTime"
          Enabled: true
```

### 補足情報（FW/ツールのバージョンなど）

```
npm list --depth 0
mizuho-timecard@1.0.0 /home/kanta/workspace/mizuho-timecard/mizuho-timecard-backend
├── @fortawesome/free-solid-svg-icons@5.15.4
├── @fortawesome/react-fontawesome@0.1.16
├── @line/bot-sdk@7.4.0
├── @types/bcrypt@5.0.0
├── @types/cors@2.8.12
├── @types/csurf@1.11.2
├── @types/express-session@1.17.4
├── @types/express@4.17.13
├── @types/jest@27.0.2
├── @types/jsonwebtoken@8.5.5
├── @types/node-geocoder@3.24.2
├── @types/node@16.10.3
├── @types/sinon-express-mock@1.3.9
├── @types/supertest@2.0.11
├── @types/xlsx-populate@1.19.1 (git+ssh://git@github.com/JanLoebel/types-xlsx-populate.git#7ef81174e495fe9ef2689bd329499f81a2a93d43)
├── @typescript-eslint/eslint-plugin@5.3.1
├── @typescript-eslint/parser@5.3.1
├── @vendia/serverless-express@4.3.11
├── aws-sdk@2.995.0
├── bcrypt@5.0.1
├── body-parser@1.19.0
├── cors@2.8.5
├── csurf@1.11.0
├── dayjs@1.10.7
├── eslint-config-prettier@8.3.0
├── eslint@8.2.0
├── express-validator@6.12.2
├── express@4.17.1
├── faker@5.5.3
├── geo-position.ts@1.4.1
├── jest@27.2.5
├── jsonwebtoken@8.5.1
├── node-geocoder@3.27.0
├── nodemon@2.0.13
├── npm-run-all@4.1.5
├── prettier@2.4.1
├── rimraf@3.0.2
├── sinon-express-mock@2.2.1
├── sinon@11.1.2
├── supertest@6.1.6
├── ts-jest@27.0.5
├── ts-node-dev@1.1.8
├── ts-node@10.2.1
├── typescript@4.4.4
└── xlsx-populate@1.21.0
```
```
sls --version
Framework Core: 2.60.0 (standalone)
Plugin: 5.4.4
SDK: 4.3.0
Components: 3.17.1
```

Set-Cookieは返ってきているがCookieがブラウザに保存されない

### 実現したいこと
異なるドメインでのset-cookieでブラウザにCookieをセットしたい

### 前提
API-GATEWAYとcloudfrontのドメインが異なる状態です。
API-GATEWAYのレスポンスヘッダーにset-cookieを付与して、ドメインに上記cloudfrontを指定します。
Access-Control-Allow-Originヘッダーにはcloudfrontのoriginを指定しています。
CORSエラーは発生していません。
cloudfrontで提供しているアプリからAPI-GATEWAYにリクエストしますが、ブラウザにCookieがセットされません。

異なるドメインでのset-cookieについて

### 前提
Next.jsでAPI Routerにサーバーを立てそこに向けてaxios通信をしている

headerにcookieという名前で値を付与しているが、そもそもそのやり方が正しいのかわからない
### 実現したいこと
Axiosでcookieを送りたい

ディベロッパーツール→ネットワークのところにcookieのタブを表示させたい
![イメージ説明](https://ddjkaamml8q8x.cloudfront.net/questions/2023-01-08/fbf36834-b95e-4267-93a0-10e5689d28ce.png)
### 発生している問題・エラーメッセージ
axiosの設定でwithCredentials:trueにしても何も起こらない
![イメージ説明](https://ddjkaamml8q8x.cloudfront.net/questions/2023-01-08/31df6576-858c-41aa-980c-d7eb93d697a5.png)

フロント側から通信した場合
**Refused to set unsafe header "cookie"**というエラーでheaderに付与したcookieが送れない

サーバーサイドで通信した場合
headerに付与したcookieの値は送れている
### 該当のソースコード

フロント側で通信した場合(headerのcookieは送れない)
```
useEffect(()=>{
  axios.defaults.withCredentials=true
  
  axios({
    method:'POST',
    url:'/api/maker',
    headers:{cookie:'ttttt',withCredentials:true},
    withCredentials:true
        })
  .then(e=>{
    console.log(e.data)
   )
  })
},[])
```
サーバサイドで通信した場合(headerのcookieは送れているパターン)
```
    export const getServerSideProps = async (
      context: GetServerSidePropsContext,
    ) => {
          const create:AxiosInstance = axios.create({
            baseURL: 'http://localhost:3000',
            headers:{cookie:'ttttt',withCredentials:true},
            method:'POST',
            withCredentials:true
          })

      const res=await create({
        url:'/api/maker',
        withCredentials:true
      }).then((e)=>e)
     
      return {props:res.data}
    }
```
### 試したこと
フロントとサーバー側の両方で通信をすること
header内・外にwithCredentials:trueを記載すること
axios.defaults.withCredentials=trueで設定をすること

そもそもローカルホストだとcookieが使えないのでしょうか？


ご回答よろしくお願い致します


Axiosでcookieを送りたい

様々なログインフォームがあるサイトでチェックボックスにチェックを入れて「ログイン状態を保存する」が出来るものがあります。

あれと同じものを作ろうとした場合、入力されたメアド、パスワードをクッキーに保存しておいて、ログインページが表示された際に、クッキーに保存されたメアド、パスワードがあったらセットするということをしているのでしょうか？

その場合、クッキーには生のパスワードが保存されると思いますが、クッキーは他の人がその人のパソコンを触れるなら見ることが出来る気がしますし、それでいいものなのか気になっています。

それとも、サーバ側でセッションの有効期限を無限にしてログアウトされないようにしてるのでしょうか？
それだとブラウザを閉じたらログアウトしてしまうような気もしますがそうではないでしょうか？

今どき、ブラウザやスマホの機能でパスワードを記憶してるからなくてもいいのかなという気もしないではないですが、ログアウトしないでずっとログインしていられるならそれもいいかなと考えています。