HOME
Lv012

「Lv012」の記事一覧

ブラウザがファイルの内容からMIMEタイプを推測する機能を悪用した攻撃を防ぐヘッダーはどれか。

nosniffを指定することで、サーバーが宣言したContent-Typeを強制させ、誤認を防げる。

2026年3月18日

window.location.replaceに外部から入力されたURLを渡すことで発生する攻撃はどれか。

信頼できない外部サイトへユーザーを誘導してしまう脆弱性である。

2026年3月18日

postMessageの受信側で、Originヘッダーを「startsWith」で部分一致検証するリスクはどれか。

「victim.com.attacker.com」のように、攻撃者のドメインが検証をパスする可能性がある。

2026年3月18日

別タブで開いたページから、元のページのURLを操作される脆弱性の名称はどれか。

window.openerオブジェクトを介して、元のページを偽サイトに遷移させる攻撃である。

2026年3月18日

透明なiframeを用いて、ユーザーに意図しないボタンをクリックさせる攻撃はどれか。

視覚的な欺瞞を利用して、他サイト上での操作を強要する攻撃手法である。

2026年3月18日

URLの「#」以降の文字列を検証せずにDOMへ出力することで発生する脆弱性はどれか。

フラグメント識別子はサーバーに送られないため、ブラウザ側の処理でのみ発生するXSSである。

2026年3月18日

WebSocket接続の確立時に発生し、他人のセッションで通信を乗っ取る攻撃はどれか。

Cross-Site WebSocket Hijackingは、Originヘッダーの検証不備により発生する。

2026年3月18日

JavaScriptのpostMessageにおいて、送信先を検証せずにワイルドカードを指定するリスクはどれか。

ターゲットオリジンに「*」を指定すると、意図しないウィンドウへデータを送信してしまう。

2026年3月18日

ブラウザが本リクエストの前に、許可されたメソッド等を確認するために送信するリクエストはどれか。

プリフライトリクエストと呼ばれ、OPTIONSメソッドを用いてサーバーのポリシーを確認する。

2026年3月18日

CORSにおいて、Cookie等の認証情報を含む通信を許可するために必要なヘッダー設定はどれか。

認証情報を伴うクロスドメイン通信には、サーバー側でこのヘッダーを明示的に返す必要がある。

2026年3月18日