Q&A
早速ありがとうございます!
phpで中継プログラムを作成してみたところ、エラーメッセージは消え、通信自体はできようになったみたいです。とても助かりました!
#前提・実現したいこと
行政機関が公表しているAPI(XMLデータ)を利用して、特定のデータを取得・表示するwebアプリを作成しています。APIの公開は2017年6月であり、比較的新しいものです(2018年3月に仕様更新)。
取得・表示する機能はJavascript(ajax)で記述しており、アプリ画面上のボタンをクリックすると当該機能が発動するようになっています。
#発生している問題・エラーメッセージ
アプリ画面上のボタンを押しても何も表示されず、consoleには次のようなエラーメッセージが表示されます。
HTTP - Based Public Key Pinning is deprecated. Chrome 69 and later will ignore HPKP response headers.
#試したこと・調べたこと
下記の記事等を読んで、**「自分が接続したいAPIにはHPKP(HTTP公開鍵ピンニング)というセキュリティ方式が採用されているところ、Google ChromeがHPKPのサポートを2018年5月に終了したため、接続ができなくなった」**ということは理解できたのですが、解決策がわかりません。
セキュリティの問題ということで、アプリ側の常時SSL化もやってみたのですが、やはり同じエラーメッセージが表示されます。
【参考記事】
- [グーグル、「Chrome 67」でHPKPのサポートを廃止へ
](https://japan.cnet.com/article/35109624/)
- [HTTP Public Key Pinning (HPKP)](https://developer.mozilla.org/ja/docs/Web/Security/Public_Key_Pinning https://japan.cnet.com/article/35109624/)
回答2件
0
HPKPがなくても、通信自体は可能なはずです。
Developer ToolsのNetworkタブを見て、「通信できているけど受け取ったJavaScriptでのハンドリングに失敗している」のか「JavaScriptでの通信が失敗している」のか確認してください。「APIがCORS非対応で、ブラウザから通信できない」など、別な問題ということも考えられます。
投稿2018/12/04 22:32
総合スコア145184
0
ベストアンサー
ChromeがHPKPを使った通信を廃止するのであれば、Ajax側だけでどうにかして対応することは出来ません。
Javascript
↓↑ [ここは非HPKPで通信]
自分のサーバ上の中継プログラム
↓↑ [ここはHPKPで通信]
API
の様な感じでAjaxとAPIとの通信を仲立ちしてあげるようなプログラムを設置してあげる必要があるでしょう。
(仕組みやプログラム自体は簡単ですが、セキュリティやAPI規約、サーバやネットワーク負荷その他諸々考慮する必要があるのでちゃんとやるとそれなりに大変です)
Remove HTTP-Based Public Key Pinning (removed)を読む限り、廃止間近ではあるもののまだ完全に廃止はされていないようですね。(開発版のChromeではすでに廃止されている様子)
投稿2018/12/04 13:44
総合スコア18713
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2018/12/05 16:14