HOMELv013 CORS(Cross-Origin Resource Sharing)の設定で、`Access-Control-Allow-Origin: null` を許可することのリスクは何か。 2026年3月10日 `null` Originは、ローカルファイルスキームやサンドボックス化されたiframeから生成されるため、これを許可すると意図しないコンテキストからのアクセスを許すことになる。 CSSインジェクションにおいて、ページ内の秘密情報(CSRFトークンなど)を外部に送信するために利用されるCSSプロパティはどれか。 Content Security Policy (CSP) を回避するために、ホワイトリストに含まれるJSONPエンドポイントを利用して任意のスクリプトを実行する手法はどれか。
