axios の脆弱性 CVE-2023-45857 の動作を確認するデモ

1. dev container で起動する
2. app コンテナでnpm run devする
3. http://app.localhostへアクセスする
4. ブラウザの開発者ツールで Cookie にXSRF-TOKENがセットされていることを確認する
   • 値がCREDENTIAL_TOKENとなっていること
   • HttpOnly が false となっていること
   • SameSite が Strict となっていること
5. ボタンを押す
6. 開発者ツールでwhoami.localhost/apiへのリクエストにヘッダーのx-xsrf-tokenが存在し値がCREDENTIAL_TOKENとなっていること
   • whoami はリクエストをそのまま返却するのでブラウザ上でも確認ができる