HOMELv013 `window.postMessage` を使用したクロスオリジン通信において、受信側のスクリプトが検証すべき最も重要な情報はどれか。 2026年3月10日 `event.origin` を検証せずにメッセージを信頼して処理すると、悪意のあるサイトからのメッセージによってXSSや不正操作が引き起こされる。 複数のコンテキスト(HTML、属性、スクリプト内など)で有効なXSSペイロードを作成し、フィルタ回避やWAF回避を試みる文字列を何と呼ぶか。 LocalStorageに保存されたアクセストークンが、HttpOnly属性付きのCookieと比較してセキュリティ上脆弱である主な理由は何か。
