昨日書いた UTF-7 XSS Cheat Sheet を更新しました。いちおう簡単ながら対策方法を入れたり、iframe経由な方法などを追記したりしてます。もうちょっと増やす予定。
あと、ヤマガタさんの反応を読みながら思ったんですが、一般的なXSS対策で「<」「>」などを「&lt;」「&gt;」にエスケープするように、機械的に「+」を「&#x2b;」にエスケープしてやれば、万が一のときでもUTF-7によるXSSを防げるような気もしたんですけど、あまり深く考えてないのでもうちょっと再考してみますです。