暗号化されたCookieに謎の接頭辞「ENC_」が付与されてしまう #131

SofPyon · 2019-12-21T02:42:06Z

再現環境

さくらのレンタルサーバー
（本番環境のみで再現）

SofPyon · 2019-12-21T02:42:38Z

おそらくこのバグが原因で #126 が発生したと思われる

Axios の機能として、XSRF-TOKEN という Cookie が存在すれば、それを自動的に X-XSRF-TOKEN という HTTP ヘッダにして送ってくれるという機能があるが、「ENC_」という接頭辞が邪魔してしまい、Axios が XSRF-TOKEN を送ってくれなかった。

結果として Laravel が 419 エラーを返していたと思われる。

追記(2020/01/16): さくらのレンサバの WAF のせいだった。WAF は、接頭辞「ENC_」を付けて Cookie を暗号化するだけでなく、httponly にしてしまうらしい。

Cookie の暗号化自体は Laravel 側でも動作するので、WAF が Cookie を暗号化する処理は冗長と言える。とはいえ、WAF を有効にしたほうが安心感が高いので、とりあえず WAF の利用は継続する。

hosakou · 2020-01-10T03:14:46Z

http://blog.inasoft.org/article/102947798.html
「ENC_」はこのページによると WAF のせいらしいです！

SofPyon · 2020-01-10T05:11:41Z

@hosakou
そういうことか！ありがとう！！
そういえば何となく WAF オンにしてた…笑

原因が分かったのと、今のところ ENC_ のせいで不都合が生じているわけではなさそうなので、この issue は閉じます！

SofPyon added the bug Something isn't working label Dec 21, 2019

SofPyon self-assigned this Dec 21, 2019

SofPyon closed this as completed Jan 10, 2020