UTF-7エンコードされたタグ文字列によるXSS脆弱性に注意 − スラッシュドット ジャパン
この問題はUTF-7固有の問題ではない。たとえばISO-2022-JPでも同様のことが起こり得る。ユーザが意図してメニューから文字エンコーディングを変更すると、それによってXSS攻撃が発動することがある。訪れたサイトで文字化けが起きているからといって、不用意にエンコーディングを変更してはいけない。「文字エンコーディングを変更してください」などと要求するページに騙されないよう注意が必要だ。
なるほど。ISO-2022-JP だと簡単にスクリプトの活性化/不活性化を切り替えられますからね。UTF-7 や ISO-2022-JP のように、ASCIIな部分が非互換なエンコーディングって他に何があるかなぁ。ってわけで、PoCはこちら。IE限定です。
追記。slashdot.jp に「IEなんか使うからいけないんだよ。」というコメントがありましたが、エンコーディングを変えることによりスクリプトが発動する危険性は Firefox でも同じ。もうちょっと手を入れてスクリプトをうまく隠せばより効果的。