CSV Injection:一個被低估的攻擊面,以及威脅模型如何決定它的嚴重度最近在重構一個「把分析資料匯出成 CSV / Excel」的功能時,自動化的 code review 工具在其中一段 CSV 產生邏輯標了一個 CWE-1236(CSV Injection)。第一眼看它像個可以延後處理的舊問題,但認真追下去,卻意外帶出一整套關於「injection 的本質」與「威脅模型如何決定優先級」的思考。這篇就記錄這段收穫——幾乎不談那個重構本身,只談那個被掀開的攻擊面。2026-06-11