徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員 脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。
https://t.co/F0kveu1nJM

徳丸 浩さんにリクエスト

投稿して欲しいテーマ・お題のリクエストや質問を匿名で送ることができます。

過去の回答
失礼いたします。
XSSに対するの全てのウェブアプリケーションに共通の対策として「HTTPレスポンスヘッダのContent-Typeフィールドに文字コード(charset)の指定を行う。」というのがありますが、これはドキュメントファイル(HTMLやPHP)だけに対するものでしょうか?それともJSファイルにも必要なものなのでしょうか?
23卒でこれから就活なのですが、web開発エンジニアか脆弱性診断士のどちらかになりたいと思ってます。

そこで質問なのですが、最初にweb開発エンジニアになってから数年経って脆弱性診断士、または脆弱性診断士になってから数年経ってweb開発エンジニアになるのは難しい事なのでしょうか?
徳丸先生はメイン機Macなんでしょうか?徳丸本のDocker環境楽しみにしてます。
未経験者が脆弱性診断員になりたいと思った場合、どのようなステップアップ(資格取得や受講講座など)を推奨されますでしょうか。
iPhoneのSafariで閲覧中に、
"JavaScriptは、この方法で使用することが許されていません"と表示される事が度々ありました。

ウイルス感染や攻撃されているものなのでしょうか?
徳丸先生のYouTubeチャンネルの中で、徳丸本第2版のPDF版を使用されていますがどこかで購入できるものなのでしょうか?(初版は達人出版会からPDF版が発売されていますが第2版は見当たりませんでした)
Webサイト(ECサイトやコーポレートサイト)を脆弱性診断ツールで診断をした際に、Yahoo や Google の計測用タグのiframeにて、「sandbox属性が指定されていない」と言って、セキュリティ設定の不備が指摘されることがあります。
この場合、考えられる脅威は何があるのでしょうか?
個人的な見解としては、iframeの読み込み先のYahooの計測APIなどで、XSSがあるとは考えにくいですし、個人情報が漏洩するリスクはないと判断して、過剰検知としていいものなのでしょうか?
ご教授いただけると助かります。
よろしくお願いいたします。
お問い合わせフォームなど個人情報を扱うフォームをSPAで実装する時の個人情報の保持に関するご質問です。

フォームは入力、確認、完了の3画面構成です。
フォームのフローは以下になります。
①入力画面から入力された個人情報をjsの状態管理処理を担う領域(具体的にはnuxtのstore等)に格納した上でバリデーション用のapiでバックエンドへ送る
②バリデーションを通っている場合、①で保存した個人情報を確認画面に表示
③ユーザーが確認ボタンを押すと、①で保存した個人情報を登録用のapiを使ってバックエンドへ送る
④登録が完了できたら完了ページを表示

このようなフローで個人情報をフロント側で保持することは問題ないでしょうか。