とりあえず、「SecuniaがIE7の脆弱性を早くも警告、IE6にも存在する“mhtml:”の脆弱性」で挙げられている CVE-2006-2111 などの mhtml: を利用した脆弱性に対して、サーバ側で防御する手段を見つけました。
とりあえず、サーバから返すHTTPレスポンスのステータスコードを 200 ではなく 201 や 202 にしてやると、mhtml: によるリダイレクションでは読み込むことができないようです(意味合い的には 202 あたりがよいように思います)。これにより、mhtml: を使って他のドメインの HTML から中身を読み取られることはなくなります。IE以外のブラウザでどんな支障がでるかは、とりあえず今は気にしていません。