Cookie障害の運用チェックリスト
Cookie問題は「その場で直す」だけだと再発しやすいため、一次切り分け・恒久対策・監視を同じフォーマットで回すことが重要です。
このチェックリストを使う場面
- ログインが維持されない、または断続的に切れる
- OAuth/OIDC 連携後だけ未ログインになる
- サブドメイン/パスで挙動が変わる
- 本番移行後にセッション系障害が増えた
15分トリアージ(一次切り分け)
- 1) 失敗レスポンスの Set-Cookie 全行を採取(時刻・URL付き)
- 2) Set-Cookie Inspect で属性差(SameSite/Secure/Domain/Path)を確認
- 3) Cookie Domain/Path Matcher で対象URLへの送信可否を判定
- 4) 外部遷移が絡む場合は SameSite Cookie Simulator で cross-site 条件を再現
- 5) 同名競合が疑わしい場合は Set-Cookie Conflict Checker で衝突を検出
症状→最短導線マトリクス
- 保存されない: Set-Cookie Inspect → Cookie Security Audit → Set-Cookie Not Persisted
- 送信されない: Domain/Path Matcher → SameSite Simulator → Host/Origin Inspect
- OAuth戻り失敗: OAuth Return Cookie Lost(シナリオ)を起点に確認
- 断続的不安定: Conflict Checker → Cookie Name Collision Diagnostic
- ヘッダー過大: Cookie Size Checker → Cookie Parser で整理
恒久対策チェックリスト
- Cookie命名規則を決め、同名再利用を禁止または厳格管理する
- Domain/Path の正本を文書化し、サービス横断で統一する
- cross-site 要件があるCookieは SameSite=None; Secure を明示する
- 旧cookie削除(Max-Age=0)を移行計画に含める
- 本番相当ドメイン/HTTPSで回帰試験を自動化する
運用監視チェックリスト
- 401/403率とログイン成功率を日次で監視する
- Set-Cookie差分(属性変更)をデプロイ差分監視に入れる
- 主要ブラウザで同一シナリオの定期リグレッションを回す
- Cookieヘッダーサイズ上位のキーを定期レビューする
関連ページ(実行順)
- Set-Cookie Inspect
- Cookie Domain/Path Matcher
- SameSite Cookie Simulator
- Set-Cookie Conflict Checker
- Cookie Security Audit
- Cookie Size Checker
- Set-Cookie Not Persisted Diagnostic
- OAuth Return Cookie Lost
- Cookie Name Collision Diagnostic
- Cookie Tools Selection
FAQ
- まず1つだけ見るならどれですか?
- Set-Cookie属性の事実確認です。そこが曖昧なままでは SameSite/Domain/Path の議論が成立しません。
- 運用で最も再発しやすいのは何ですか?
- 同名Cookieの再混入と、移行時の旧cookie残存です。命名規則と削除手順をリリース手順に固定すると再発を抑えられます。
参照仕様
次に見る(診断順)
site_map ルールに基づいて、次に確認すべきページを表示しています。
- Set-Cookie が保存されない時の診断手順 — Domain/Path/Secure/SameSite を順に確認して Cookie 非保持の原因を切り分ける
- OAuth戻りでログインが維持されない時の診断手順 — IdP戻りで起きる Cookie 不達を SameSite・Secure・Path/Domain・競合で順に切り分ける
- 同名Cookie競合で不安定な時の診断手順 — 同名CookieのPath/Domain差分・上書き順・送信衝突を整理して不安定挙動を解消する
- Cookie系ツールの使い分け — Set-Cookie / Domain-Path / SameSite / 競合 / サイズを症状別に切り分ける
- Set-Cookie Inspect — Set-Cookie 属性を解析して配布方針を確認
- Cookie Domain/Path Matcher — Domain/Path/Secure 条件でCookie送信可否を判定
- SameSite Cookie Simulator — SameSite と文脈からCookie送信可否をシミュレーション
- Set-Cookie Conflict Checker — 同名Cookie競合と上書きリスクを検出
同テーマの導線
事例クラスタ一覧
実運用トラブル別に、最短の診断ルートへ入るためのシナリオ集
- 症状別診断ガイド(入口) — キャッシュ/CORS/JWT/MIME系の実運用トラブルを、症状起点で最短導線に振り分ける総合ハブ
- 304が返らない時の診断手順 — ETag / Last-Modified と If-* の往復を確認して 304 不発を切り分ける
- 更新したのに反映されない時の診断手順 — HTML/API/静的アセット別にキャッシュ方針を確認し、反映遅延を短時間で切り分ける
- CORS preflight失敗時の診断手順 — OPTIONS応答、Allow-*、Origin条件を順に確認して preflight 失敗を解消する
- JWT 401/403 切り分け手順 — Authorization / WWW-Authenticate / claims / 署名検証を連携して 401 と 403 を分離する
- 429/503で再試行が止まらない時の診断手順 — Retry-After の秒/日時解釈とクライアント実装差を切り分け、過剰再試行を抑える
- nosniffでJS/CSSがブロックされる時の診断手順 — Content-Type と nosniff の不一致、404/302混入、配信経路の上書きを切り分ける
- Set-Cookie が保存されない時の診断手順 — Domain/Path/Secure/SameSite を順に確認して Cookie 非保持の原因を切り分ける
- OAuth戻りでログインが維持されない時の診断手順 — IdP戻りで起きる Cookie 不達を SameSite・Secure・Path/Domain・競合で順に切り分ける
- 同名Cookie競合で不安定な時の診断手順 — 同名CookieのPath/Domain差分・上書き順・送信衝突を整理して不安定挙動を解消する