HOMELv022 `` のように、SVGタグのイベントハンドラを利用してJavaScriptを実行するXSSベクトルは、どのコンテキストで有効か。 2026年3月10日 SVGタグはHTMLパース時に解釈されるため、HTMLとして出力される箇所にインジェクションできれば、スクリプトタグを使わずにXSSが可能である。 WebSocket接続リクエストにおいて、ブラウザが自動的に付与する `Origin` ヘッダーをサーバー側で検証しない場合に発生する脆弱性はどれか。 Unicode文字の正規化(Normalization)処理において、特定の文字(例:全角の<)が半角の `<` に変換されることを利用して、XSSフィルタを回避する脆弱性はどれか。
