UTF-7 XSS Cheat Sheet

はせがわさん経由

#6と#7が追加されていますよ!

#6 via UTF-7 iframe
#7 Unidentifiable charset

ぉ、まだまだアップデートされるそうです!

一般的なXSS対策で「<」「>」などを「<」「>」にエスケープするように、機械的に「+」を「+」にエスケープしてやれば、万が一のときでもUTF-7によるXSSを防げるような気もしたんですけど、あまり深く考えてないのでもうちょっと再考してみますです。

screenshot