axios の脆弱性 CVE-2023-45857 の動作を確認するデモ
- dev container で起動する
- app コンテナで
npm run devする - http://app.localhostへアクセスする
- ブラウザの開発者ツールで Cookie に
XSRF-TOKENがセットされていることを確認する- 値が
CREDENTIAL_TOKENとなっていること - HttpOnly が false となっていること
- SameSite が Strict となっていること
- 値が
- ボタンを押す
- 開発者ツールで
whoami.localhost/apiへのリクエストにヘッダーのx-xsrf-tokenが存在し値がCREDENTIAL_TOKENとなっていること- whoami はリクエストをそのまま返却するのでブラウザ上でも確認ができる