携帯電話事業者に学ぶ「XSS対策」 - ockeghem(徳丸浩)の日記

URL

http://d.hatena.ne.jp/ockeghem/20100726/p1

NTTドコモおよびソフトバンクモバイルの端末がJavaScriptに対応したことにより、XSSのリスクが高まっています。
そのような状況で、両事業者は、典型的なXSS試験パターンを「一見動作しなくなる」という対応をしています。
・ URLにおいて削除される特殊文字は、「<」、「>」、「"」の三種である。
SSLの場合は特殊文字はカットされない

ゲートウェイによって「<」とか「>」を削除してるが、ちょっとエンコードして送ると普通に動作してしまう。
つまり、対策としては普通のwebアプリと同じく真面目に入力値をチェック/出力時の変換をするしかない。