カード決済WebAPIへのSSL送信

先ず、[ANo.2] へのお礼の中の質問にたいする回答ね。 「それが可能だったとしても、XmlHttpRequestの通信が暗号化された処理にできるのでしょうか...？」 暗号化通信(今回は SSL のことね) は、通信経路の安全性の話だから、XmlHttpRequest とは関連がない技術だよ。 つまり http: で出来るなら、https: でもできるということ。 XmlHttpRequest のリクエスト url が https:// からはじまるときのことを考えれば、納得できるかな？ ここからは、いま思考実験中？の 「決済側のWebサービスが」クロスドメインの XmlHttpRequest でサービスを提供しているとしたら？の話ね。 一瞬、いい方式かなとおもったけど、一日落ち着いて考えたら、やっぱりだめだね。 一つ穴が見つかるとドンドン見つかる。 説明が一番簡単な部分を一つ指摘するよ。 1) SSL の安全性の確保は、最終的にユーザの目視に頼っている。 具体的にいうと、 ユーザがロケーションバーに表示されている URL のドメインをみて、「ああ、きちんと目的のサイトにきているな。」と確認することが必要だよ。 理由については、暗号化技術の理解が必要だから気が向いたら調べてみてね。 2) クロスドメインの XmlHttpRequest は、ユーザにクロスドメインへの通信を意識させない。 1) と 2) は同時に成り立たないよね。これだけでも、大きなセキュリティに対する脆弱性につならるから、たとえ出来たとしても止めた方がいいよ。