解決方法
HUDをOFFにする
公式の正誤情報でてました
https://www.sbcr.jp/support/15210/
経緯
- 徳丸本(安全なWebアプリケーションの作り方)を進めていた。
- ZAPをプロキシに設定してhttpで
example.jpにアクセスすると勝手にhttpsになる問題発生 -
3.3 CORS(Cross-Origin Resource Sharing)の33-001a:シンプルなリクエスト(CORS対応)から、Firefoxのコンソールに以下のようなエラーがでて、クロスサイトの通信ができなかった- (スキームが違うので別オリジンとなってしまうため当然だが)
混在アクティブコンテンツ “http://api.example.net/33/33-002a.php” の読み込みをブロックしました
HUDとは
ZAP経由でサイト閲覧した時に、画面上に色々表示してくれる機能
ZAP 2.8.0からHUDがデフォルト有効になった模様(追加された?)
徳丸本の手順通りにFoxyProxyを使っていると以下のようにうまく表示されないかも
原因の考察
HUDの表示は、ブラウザのHTMLにiframeで挿入されている
iframeのsrcはhttps://zap//zapCallBackUrl/以下略
httpのサイトにiframeでhttpsのサイトを埋め込むことはできないから(混合コンテンツ)
ZAPが勝手にhttpsで通信するようにしてるんじゃないかなあ
以上