<a href="https://corp.timee.co.jp/" target="_blank" rel="nofollow noopener noreferrer">タイミー</a>でフロントエンドエンジニアをしている<a href="https://twitter.com/tohhiro_" target="_blank" rel="nofollow noopener noreferrer">トーヒロ</a>です。
今回は特定のAPI通信ができない（操作が完了しない）というお問い合わせをいただいたときのことを紹介します。問題の原因が特定のHTTPメソッドの<code>PATCH</code>、<code>PUT</code>、<code>DELETE</code>のいずれかがプロキシサーバーなどでブロックされていることが原因だと定義し、コードの改修ではなく、カスタマーサポートの対応マニュアルを整備したことについて記載しています。
<aside class="msg message">!<div class="msg-content">
<h4 id="http%E3%83%A1%E3%82%BD%E3%83%83%E3%83%89%E3%81%A8%E3%81%AF">
<a class="header-anchor-link" href="#http%E3%83%A1%E3%82%BD%E3%83%83%E3%83%89%E3%81%A8%E3%81%AF" aria-hidden="true"></a> HTTPメソッドとは</h4>
<a href="https://developer.mozilla.org/ja/docs/Web/HTTP/Methods" target="_blank" rel="nofollow noopener noreferrer">https://developer.mozilla.org/ja/docs/Web/HTTP/Methods</a>
</div></aside>
<h2 id="%E7%99%BA%E7%94%9F%E3%81%97%E3%81%A6%E3%81%84%E3%81%9F%E3%81%93%E3%81%A8">
<a class="header-anchor-link" href="#%E7%99%BA%E7%94%9F%E3%81%97%E3%81%A6%E3%81%84%E3%81%9F%E3%81%93%E3%81%A8" aria-hidden="true"></a> 発生していたこと</h2>
Webで展開している店舗向けのサービスにて、「作成はできるけど編集ができない」 や、「作成したものが削除ができない」 といった 「一部の操作ができない」 というご連絡がカスタマーサポートを通じてエンジニアへの対応依頼としてあがってきました。なるべくご連絡いただいた状態を再現しましたが、手元のDevやステージング環境ではお問い合わせいただいた問題は発生せず、Datadog、Sentryを探るも手掛かりを掴めない状態でした。再現や原因が特定できないので数日間解決策をご案内できないままでした。
<h2 id="%E5%95%8F%E9%A1%8C%E3%81%AE%E5%88%87%E3%82%8A%E5%88%86%E3%81%91">
<a class="header-anchor-link" href="#%E5%95%8F%E9%A1%8C%E3%81%AE%E5%88%87%E3%82%8A%E5%88%86%E3%81%91" aria-hidden="true"></a> 問題の切り分け</h2>
依頼があった当初は、ちょうどSPA移行が完了した頃でしたので、プログラムに何かしらの問題があるのかと思いました。しかし、同系列の別店舗のユーザーからも同様のお問い合わせが入ったとき、店舗の規模も考慮すると、プロキシサーバーを経由されて通信されている可能性が高いと判断し、スマートフォンの移動回線で同じ操作が可能かを試していただき、それであれば問題なく操作できることが確認できました。
<h2 id="%E8%80%83%E5%AF%9F%E3%81%97%E3%81%A6%E3%81%BF%E3%81%9F%E3%81%93%E3%81%A8">
<a class="header-anchor-link" href="#%E8%80%83%E5%AF%9F%E3%81%97%E3%81%A6%E3%81%BF%E3%81%9F%E3%81%93%E3%81%A8" aria-hidden="true"></a> 考察してみたこと</h2>
実際のご利用のネットワーク環境などを見ることができないため、エンジニアで原因を仮定しながら進めていくことになりました。前職、情報システム部の方と一緒にお仕事させていただいた経験を思い出し、その時されていたのがセキュリティ対策の一環としてWebサイトの閲覧をホワイトリスト・ブラックリストで制御していたことを思い出しました。HTTPメソッドも<a href="https://developer.mozilla.org/ja/docs/Web/HTTP/CORS#%E5%8D%98%E7%B4%94%E3%83%AA%E3%82%AF%E3%82%A8%E3%82%B9%E3%83%88" target="_blank" rel="nofollow noopener noreferrer">単純リクエスト</a>の<code>GET</code>や<code>POST</code>以外の<code>PATCH</code>、<code>PUT</code>、<code>DELETE</code>を塞ぐことで、セキュリティ向上、対応範囲を狭めているのかと考えました。
もちろんHTTPメソッドだけでなく、前途したURIについてもパスがブラックリストになっていて通信できない場合も原因としてあるのかなとは思います。
<img src="https://storage.googleapis.com/zenn-user-upload/066f38cfe082-20231201.png" loading="lazy" class="md-img">
余談ですが、HTMLの<a href="https://developer.mozilla.org/ja/docs/Web/HTML/Element/form#method" target="_blank" rel="nofollow noopener noreferrer">&lt;form&gt;タグ</a>にmethod属性がありますが、<code>GET</code>と<code>POST</code>しか渡せません。もし<code>PATCH</code>、<code>PUT</code>、<code>DELETE</code>を渡したい場合は、<code>&lt;input type=hidden name="_method"&gt;</code>にvalueでメソッド名を持たせなければならないので、そういった背景や、<a href="https://developer.mozilla.org/ja/docs/Glossary/Preflight_request" target="_blank" rel="nofollow noopener noreferrer">プリフライトリクエスト</a>の場合はブロック、またはREST API設計を考慮したプロキシサーバーの設定にされていないのかと思いました。
<div class="code-block-container"><pre class="language-html"><code class="language-html">&lt;form method="POST" action="/backend.php"&gt;
	&lt;input type="hidden" name="_method" value="patch"&gt;
	&lt;input type="text" name="text"&gt;
	&lt;input type="radio" name="radio" value="true"&gt;
	&lt;input type="submit" value="更新"&gt;
&lt;/form&gt;
</code></pre></div><h2 id="%E6%A4%9C%E8%A8%8E%E3%80%81%E5%AF%BE%E5%BF%9C%E3%81%97%E3%81%9F%E3%81%93%E3%81%A8">
<a class="header-anchor-link" href="#%E6%A4%9C%E8%A8%8E%E3%80%81%E5%AF%BE%E5%BF%9C%E3%81%97%E3%81%9F%E3%81%93%E3%81%A8" aria-hidden="true"></a> 検討、対応したこと</h2>
今回お問い合わせいただいた問題は、ご利用環境に依存するため、既存のサービスを改修するようなエンジニアで対応できることがありません。 
（HTTPメソッドを全て<code>POST</code>にするという方針になればありますが、、、） 
ただ、同様のお問い合わせがあった場合、問題の切り分けから解決策のご案内までをカスタマーサポートを経由すると、数日間かかってしまう場合もあるため考慮したいところでした。
解決までの時間短縮も考慮し、お問い合わせを受けたカスタマーサポートの担当者のみで対応できそうなことをフロントエンドとカスタマーサポートの担当者でいくつか考えてみました。
<ul>
<li>Devtoolを開いてもらい、HTTPメソッドを確認してもらう</li>
<li>必要なHTTPメソッドが有効であるかのチェッカーサイトを作る</li>
</ul>
上記については、カスタマーサポートの対応範囲の拡大や展開コスト、チェッカーサイトの利用頻度や運用コスト面でボツにしました。 
わかりやすいのは、既にご案内したことを応対マニュアルにすることで落ち着きました。
改めてトラブルシューティングすることを順にまとめると、
<ol>
<li>スマートフォンの移動回線で同じ操作ができるかをお試しいただけるかご案内</li>
<li>もし操作できた場合、特定の通信ができないネットワーク環境であることをご案内</li>
<li>ネットワーク環境については、御社のIT担当の方へその旨をご連絡いただくようご案内</li>
<li>もし解決できなければ、別の原因が考えられるのでエンジニアに依頼をする</li>
</ol>
以上のポイントについて、お問い合わせマニュアルを整備することで、カスタマーサポートで問題を切り分けできるようになり、解決までの時間の短縮ができると考えています。
現在も稀に同内容であっても応対マニュアルを見落としてエンジニアに依頼をいただくこともありますが、この応対マニュアルを周知することでクローズできています。
<h2 id="%E6%9C%80%E5%BE%8C%E3%81%AB">
<a class="header-anchor-link" href="#%E6%9C%80%E5%BE%8C%E3%81%AB" aria-hidden="true"></a> 最後に</h2>
ご利用環境については、<a href="https://clients-help.timee.co.jp/hc/ja/articles/16933464792601" target="_blank" rel="nofollow noopener noreferrer">弊社ヘルプページ</a>にも記載させていただいておりますが、なかなか難しいところかと思っております。引き続きカスタマーサポートと協力して対応できるものは積極的にやっていきたいと思っています。
またタイミーではエンジニアを積極的募集中です。 
もしご興味を持っていただけましたら、是非一度下記リンクをご確認いただけますと幸いです。
<iframe id="zenn-embedded__20b74b5b74fe9" src="https://embed.zenn.studio/card#zenn-embedded__20b74b5b74fe9" data-content="https%3A%2F%2Fproduct-recruit.timee.co.jp%2F" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://product-recruit.timee.co.jp/" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://product-recruit.timee.co.jp/</a>

【HTTPメソッド】特定のAPI通信ができないというお問い合わせの対応

Discussion