2008-01-11 UTF-7 XSS Cheat Sheet SECURITY 昨日書いた UTF-7 XSS Cheat Sheet を更新しました。いちおう簡単ながら対策方法を入れたり、iframe経由な方法などを追記したりしてます。もうちょっと増やす予定。 あと、ヤマガタさんの反応を読みながら思ったんですが、一般的なXSS対策で「<」「>」などを「<」「>」にエスケープするように、機械的に「+」を「+」にエスケープしてやれば、万が一のときでもUTF-7によるXSSを防げるような気もしたんですけど、あまり深く考えてないのでもうちょっと再考してみますです。