はてブで 「すべてをエンコードすると決めた」といいながらメタキャラクタしかエスケープしないのはなぜ? と書いたら、b:id:HiromitsuTakagi さんに /↓hasegawayosuke「なぜ」<意味不明 / と言われてしまいますた。 全ての文字をエスケープしようなどと非現実的なことは言わないけれど(とはいえMicrosoft Anti-Cross Site Scripting Libraryのようにほとんど全ての文字を実体参照に置き換えるものもあるので、あながち非現実的とも言えないのかも知れない)、エスケープ対象を「'」「"」「<」「>」「&」の5文字に限定しているのは何かこの記事に書かれていない理由があるはずだと思ったからです。 この5文字さえ確実にエスケープしていれば XSS が防げるかというと、多分そうでもないだろうと個人的には思うわけでして。 例えば IE ではバックク