IPAによる「安全なウェブサイトの作り方」の改定第3版が出ていました。あちこちにUTF-7によるXSSネタが出てきているんですが、いくつか気になる点がありました。 まずはP.25から。 HTTP のレスポンスヘッダのContent-Type フィールドには、「Content-Type:text/html; charset=us-ascii」のように、文字コード(charset)を指定することができますが、この指定を省略した場合… 安全なウェブサイトの作り方 改定第3版 (P.25)より。charset をきちんとつけようという例で US-ASCII を示すのはあまり頂けないなと思います。Internet Explorer においては、US-ASCIIの場合は最上位ビットを無視するという問題が2006年から放置されてますので、US-ASCIIを指定してもそれはそれでWebアプリケーション開発
![安全なウェブサイトの作り方 改定第3版 - 葉っぱ日記](https://cdn-ak-scissors.b.st-hatena.com/image/square/ff8b826004b9136ec09eb5742bca5032261e7cf4/height=288;version=1;width=512/https%3A%2F%2Fcdn-ak.d.st-hatena.com%2Fdiary%2Fhasegawayosuke%2F2008-03-11.jpg)