一次魔鬼般的漏洞追查
2024-08-10
本文讲述了作者在将一个 NextJS 应用从 Vercel 迁移到 AWS EKS 的过程中遇到的一个奇怪的 bug。应用在测试 Kubernetes 集群中部署时,UI 界面出现了 401 错误,经排查发现是由于 Auth0 的 appSession cookie 在生产环境下被意外清除导致的。作者通过逐步调试,最终定位到问题根源在于 NextJS 的 Link 组件默认启用了 prefetch 功能,导致在页面加载时预先请求了 `/api/auth/logout` 路由,从而清除了 appSession cookie。
35