指摘事項A中の(a)は、他を見なくても「セキュア」属性だと分かりますね。徳丸本(体系的に学ぶ 安全なWebアプリケーションの作り方)では、4.8.2クッキーのセキュア属性不備(P209)に説明があります。 指摘事項Bは、ここだけ読むと、XSSのようでもあり、サーバーサイドのスクリプトインジェクションのようでもありますが、検査ログからXSSであることがわかります(下図はIPAからの引用)。XSSは、徳丸本4.3.1クロスサイトスクリプティング(基本編)と4.3.2クロスサイトスクリプティング(発展編)にて説明しています。 ここまでは、ごく基本的な問題ですが、問題文P6に出てくる以下の部分は、少しだけひねってますね。 このプログラムは、利用者が入力した文字列をダイアログに表示するために、受け取ったパラメタの値をスクリプトに埋め込み、動的にスクリプトを生成する。図4の( c )行目では
![情報処理試験問題に学ぶJavaScriptのXSS対策](https://cdn-ak-scissors.b.st-hatena.com/image/square/f8768247ca113d6156b0aead4f5e204ff6d6bf4a/height=288;version=1;width=512/https%3A%2F%2F3.bp.blogspot.com%2F-wnmpPNzlfIU%2FT4vB8_ZjMbI%2FAAAAAAAABLY%2FnxI5uAlQbHo%2Fw1200-h630-p-k-no-nu%2F%25E6%2583%2585%25E5%25A0%25B1%25E5%2587%25A6%25E7%2590%2586%25E8%25A9%25A6%25E9%25A8%2593H24-001.png)