同じアプリケーション（プロジェクトかな？）に対してAPIをコールして返すみたいなRESTの機能を開発することをよくやります。CAKEPHPを使っているので、この設定なんかも非常にかんたんなんですが、APIのリクエストがPOSTのときにうまくいかなかったので、そのメモ。

src/Application.php内でCSRF対策で

->add(new CsrfProtectionMiddleware([

'httponly' => true,

]));

というのがあって、これが原因でした。

CSRFの対策をしないよという場合はコメントアウトしちゃえばいいんですけどね。