XSS の脅威

今さらな感もあるけど、備忘録ついでにメモ。

CSRF対策をちゃんとしていて、なおかつセッションCookieが取れない状況でも、スクリプトが動けばブログの更新とか勝手にできちゃうこともあるわけで。