文字コード
XSS
に利用されるケース
ISO-2022-JPの自動判定によるクロスサイト・スクリプティング(XSS)
ISO-2022-JPによるXSSの話
HTTPレスポンスヘッダーやHTML metaタグでの文字エンコーディング名の指定がない場合に攻撃者がISO-2022-JP特有のバイト列をHTML内に埋め込むことでブラウザーがそのコンテンツをISO-2022-JPであると誤認する、そのときに動的にJavaScript内の文字列を生成しているとするとUS-ASCIIでいうバックスラッシュではなくJIS X0201の円記号を挿入することでエスケープが無効になる
ISO-2022-JP自動判定を用いたHTMLコンテキスト破壊によるXSS