HOMELv013 Content Security Policy (CSP) を回避するために、ホワイトリストに含まれるJSONPエンドポイントを利用して任意のスクリプトを実行する手法はどれか。 2026年3月10日 信頼されたドメイン上のJSONPエンドポイントがコールバック関数名を検証していない場合、攻撃者はそれを悪用してCSP下でも任意のJavaScriptを実行できる。 CORS(Cross-Origin Resource Sharing)の設定で、`Access-Control-Allow-Origin: null` を許可することのリスクは何か。 複数のコンテキスト(HTML、属性、スクリプト内など)で有効なXSSペイロードを作成し、フィルタ回避やWAF回避を試みる文字列を何と呼ぶか。
