無限リダイレクトが発生してるサイトがあったんだけど、これは何があったの?

12 分で読めます

Prompt

無限リダイレクトが発生してるサイトがあったんだけど、これは何があったの?

無限リダイレクト(リダイレクト・ループ)が発生しているサイトに遭遇したんだね。ブラウザに「このページは正しくリダイレクトされていません」と怒られるあの現象は、情報工学的に見ると 「終了条件のない再帰関数」 がネットワークレイヤーで起きている状態だよ。

君が追求する「一意な正しさ」が崩壊し、システムが自分自身の尻尾を追いかけ続けている。その裏で起きている「スイスチーズの穴」の正体を解剖しよう!

1. 最も多い原因:HTTP と HTTPS の「お見合い」

モダンな Web サイトで最も頻繁に起きるのが、サーバーとプロキシ(ロードバランサーや Cloudflare など)の間での認識のズレだ。

  • 状況: 1. ユーザーが http:// でアクセス。

    1. ロードバランサー: 「安全のために https:// に転送しろ」とリダイレクト。

    2. Webサーバー: ロードバランサーから通信を引き継ぐ際、内部的には HTTP で渡されることがある。

    3. Webサーバーの設定: 「今 HTTP でアクセスが来てるな? https:// に転送しなきゃ!」と再度リダイレクトを指示。

  • 結果: 永遠に httphttpshttp … とループしてしまう。

2. .htaccess や設定ファイルの「矛盾」

サーバーの設定ファイル(Apache の .htaccess や Nginx の conf)で、条件分岐がバグっているパターンだ。

  • 例: * 「www なしの URL を www ありに転送せよ」

    • www ありの URL を www なしに転送せよ」

  • この二つのルールが共存してしまうと、一意な正解を求めてブラウザが右往左往することになる。これはまさに 「ロジックのデッドロック」 だね。

3. アプリケーション層での「ログイン必須」の罠

PHP や TypeScript (Node.js) などのプログラム側で起きるパターンだ。

  • 状況: 1. 「ログインしていないユーザーは /login へ飛ばす」という処理を書く。

    1. しかし、誤って /login ページ自体にも「ログインが必要」というガードをかけてしまう

  • 結果: /login に行こうとする → 「ログインしてないから /login へ行け」 → /login へ行く → 「ログインしてないから…(以下ループ)」

  • 君への刺さりポイント: これは TDD(テスト駆動開発)で「未ログイン時の挙動」をテストしていれば防げた典型的なバグだね。

4. トレイリングスラッシュ(末尾の /)の奪い合い

example.com/blogexample.com/blog/ の扱いを巡る争いだ。

  • サーバー A は「スラッシュを消したい」、フレームワーク B は「スラッシュを付けたい」。この二つが別々のレイヤー(インフラとアプリ)で動いていると、URL の最後の一文字を巡って無限にリダイレクトが続くことになる。

見落とされがちな視点:ブラウザキャッシュの「呪い」

一度 301 (Moved Permanently) リダイレクトを返してしまうと、ブラウザはそれを 「永遠に続く正しい知識」 としてキャッシュしてしまう。

たとえエンジニアがサーバーの設定を直しても、君のブラウザが「古い嘘」を信じ込んでいるせいで、君の環境でだけループが続くことがあるんだ。これを直すには、ブラウザのキャッシュをクリアするか、シークレットモードで試す必要がある。まさに「情報の鮮度管理」の重要性を物語る現象だね。

結論

無限リダイレクトは、「複数の防御層(スイスチーズの断片)が、互いの意図を理解せずに勝手なルールを押し付け合った結果」 起きる衝突だよ。

君が自分のサイト(https://garden.asappy.xyz)を管理する時は、リダイレクトの設定を 「一箇所(一意な場所)」 で管理するように心がけると、こうした事故を防げるはずだ。

次は、「Nginx や Apache で、こうしたループを未然に防ぐための『クリーンなリダイレクト設定』の書き方」 をやってみる?

Would you like me to code a safe Nginx configuration snippet that handles HTTP to HTTPS redirection without creating loops?

Prompt

設定ミスでなく、サーバーの過負荷や攻撃を受けた場合にこの現象が起きることはある?

結論から言うと、「設定が完璧であっても、過負荷や攻撃によって無限リダイレクト(のように見える現象)が引き起こされることは十分にあり得る」 よ。

これは設定ファイル上の論理バグではなく、システム間の 「通信の寸断」「情報の不整合」 が、結果的にリダイレクトの連鎖を生んでしまうパターンだね。情報工学的に非常に興味深い「動的な障害」の姿を解剖してみよう。

1. 過負荷による「セッション消失」ループ

アプリケーションサーバーが過負荷に陥ると、メモリ上のセッションデータや Redis などのキャッシュサーバーへのアクセスがタイムアウトすることがある。

  • シナリオ:

    1. ユーザーがログイン済みでリクエストを送る。

    2. サーバーが激重で、DBやキャッシュから「この人はログイン中か?」という情報を引くのに失敗(タイムアウト)する。

    3. サーバーは「データが取れない=ログインしていない」と誤認し、ログインページへリダイレクト。

    4. ログインページを表示しようとする際、今度は別の処理で「あ、やっぱりログインしてるかも?」と判定が揺れたり、再度タイムアウトしてループが発生する。

  • 本質: 「状態(State)」の参照に失敗した結果、プログラムの条件分岐が 「未定義の振る舞い」 を起こしている状態だね。

2. 攻撃(DDoS)による「プロキシのパニック」

Cloudflare などの CDN やプロキシサーバーを挟んでいる場合、攻撃によってこれらの中間層が「異常事態」と判断した時に起きるパターンだ。

  • シナリオ:

    1. DDoS 攻撃によってオリジンサーバー(君のサーバー)が応答不能になる。

    2. プロキシサーバーは「オリジンが死んでいるから、バックアップのページかエラーページ( /error )に飛ばそう」とする。

    3. しかし、その /error へのアクセスさえも攻撃によって遮断されたり、オリジンに転送しようとして失敗し、プロキシが「とりあえずもう一度リダイレクトして試行しよう」とループに陥る。

  • WAFの誤作動: 攻撃を防ごうとした WAF が、「特定のパターンを含むアクセスをすべて /block に飛ばす」設定になっているとき、その /block ページ内のリソース(画像やJS)自体が攻撃パターンに誤検知されると、そのページ内で無限に自分を呼び出し続けることがある。

3. 分散システムにおける「結果整合性」の遅延

巨大なシステムで、DBが世界中に分散している場合に起きる、高度な「穴」だ。

  • シナリオ:

    1. ユーザーがパスワードを変更(またはログイン)し、DBの書き込みが発生。

    2. リダイレクト先のサーバーが参照したDBが、まだ「書き込み前の古いデータ(未ログイン状態)」を保持している(レプリケーション遅延)。

    3. サーバーは「まだログインしてないぞ」と判断し、再度ログインページへ戻す。

    4. これを繰り返すうちにデータの同期が完了すれば止まるけれど、高負荷で同期が遅れ続けると無限ループに見える。

  • 君への刺さりポイント: これは CAP定理 における「整合性(Consistency)」が一時的に失われた結果、アプリケーションのロジックが破綻している状態だね。

4. 攻撃者による「リダイレクト・チェイン攻撃」

攻撃者が意図的にリダイレクトを発生させるパターンもある。

  • オープンリダイレクタ: example.com/login?redirect=http://attacker.com

    のような脆弱性を突き、被害者のブラウザを攻撃者のサイトと本物のサイトの間で何度も往復させ、その過程で Cookie や認証情報を抜き取ろうとする。ブラウザ側が「これ回数多すぎない?」と検知して止めた結果が、無限リダイレクトとして表示されることがあるんだ。

見落とされがちな視点:自己修復(Auto Scaling)の罠

クラウド環境で、負荷に応じてサーバーを自動で増やす設定(オートスケーリング)にしている場合、新しく立ち上がったばかりのサーバーが 「まだ準備ができていない(設定ファイルが古い、あるいは起動処理中)」 状態でリクエストを受け取ってしまうと、そのサーバーだけがリダイレクトを吐き出し続け、全体の挙動を不安定にすることがある。

結論

無限リダイレクトは、設定ミスという 「静的な不備」 だけでなく、負荷や攻撃という 「動的な圧力」 によってシステム間の「合意」が取れなくなった時にも発生する、いわば 「システムの悲鳴」 なんだ。

君のようなエンジニアなら、こうした事態に備えて「リダイレクト回数の上限をアプリ側でも意識する」とか、「タイムアウト時の振る舞いを一意に決めておく(安易にリダイレクトしない)」といった、「防衛的プログラミング」 が重要になってくるよ。

次は、「こうした高負荷時の不整合を防ぐために、Redis や DB の接続タイムアウトをどう設計し、ユーザーに『リダイレクト』ではなく『適切なエラー画面』を見せるための Rust での実装例」 を見てみる?

Would you like me to code a robust error handling middleware in Rust (Axum) that prevents infinite loops by checking request headers or session health?

グラフビュー

最近の記事