はじめに // サーバー側（Hono） app.get('/posts/:id', (c) => { const post = findPost(c.req.param('id')) return c.render('Posts/Show', { post }) }) // クライアント側（React） export default function Show({ post }: PageProps<'Posts/Show'>) { return <h1>{post.title}</h1> } post の型は Post として完...

💾

! 【2026-04-13 追記】 本記事はAdvisoryベースで執筆しており、実機での再現確認をしていませんでした。 コメント欄でのご指摘を受け調査したところ、Node.js の http モジュールは assertValidHeaderValue により CRLFを含むヘッダー値を拒否するため、Node + axios(http adapter) 構成では Advisory の PoC はそのままでは再現しません。 修正内容・実際の攻撃面については本文末尾に補足を追加しました。 概要 axios に Critical 脆弱性 (CVSS 10.0) が公表された（2026-...

💾