HOMELv013 CSSインジェクションにおいて、ページ内の秘密情報(CSRFトークンなど)を外部に送信するために利用されるCSSプロパティはどれか。 2026年3月10日 属性セレクタと`background-image`を組み合わせることで、特定の文字が含まれる場合に外部URLへリクエストを飛ばさせ、トークンを1文字ずつ特定する手法がある。 HTML内のID属性を持つ要素が、JavaScriptのグローバル変数としてアクセスできる仕様を悪用し、既存の変数を上書きして動作を操作する攻撃はどれか。 CORS(Cross-Origin Resource Sharing)の設定で、`Access-Control-Allow-Origin: null` を許可することのリスクは何か。
