HOMELv012 postMessageの受信側で、Originヘッダーを「startsWith」で部分一致検証するリスクはどれか。 2026年3月18日 「victim.com.attacker.com」のように、攻撃者のドメインが検証をパスする可能性がある。 透明なiframeを用いて、ユーザーに意図しないボタンをクリックさせる攻撃はどれか。 ブラウザがファイルの内容からMIMEタイプを推測する機能を悪用した攻撃を防ぐヘッダーはどれか。
