http://d.hatena.ne.jp/ockeghem/20100726/p1
NTTドコモおよびソフトバンクモバイルの端末がJavaScriptに対応したことにより、XSSのリスクが高まっています。
そのような状況で、両事業者は、典型的なXSS試験パターンを「一見動作しなくなる」という対応をしています。
・ URLにおいて削除される特殊文字は、「<」、「>」、「"」の三種である。
・ SSLの場合は特殊文字はカットされない
ゲートウェイによって「<」とか「>」を削除してるが、ちょっとエンコードして送ると普通に動作してしまう。
つまり、対策としては普通のwebアプリと同じく真面目に入力値をチェック/出力時の変換をするしかない。