Unicodeのエンコーディングの一つ。
ASCII文字だけでUnicodeの文字を表現するために作られた。
UTF-7対応のブラウザでXSS脆弱性が発見されたこともある。
WassrでUTF-7エンコードしてポストする、というのが流行ったことがある。
経緯 なぜ今このContent-TypeヘッダのCharsetでのXSSに言及しているかというと IPAで公開されている安全なウェブサイトの作り方による資料でこの項目が今だにフォローされているからだ。 この項目が令和となった現在もフォローが必要なのか検証していきたい。 TL;DR もう指摘基準から除外しても良いのではなかろうか 被害の恐れがある場合はIE11以前のブラウザでかつ、限定的なので。 Content-TypeヘッダのXSS?? こちらはどういうことかというかと、 ブラウザの文字コードの解釈によって実行されるクロスサイトスクリプティングの対策についての項目なのである。 通常、何も対策を…