¿Por qué OWASP ASVS requiere que las respuestas HTTP tengan un encabezado de contenido que especifique un conjunto de caracteres?

Reducir los ataques del lado del cliente.

Por ejemplo: Si la página en la que reside el XSS no proporciona un encabezado de conjunto de caracteres de la página, o cualquier navegador que esté configurado con codificación UTF-7 puede ser explotado de la siguiente manera. por ejemplo (codificación UTF-7):

+ADw-SCRIPT+AD4-alert('XSS');+ADw-/SCRIPT+AD4-

Y es difícil prevenir los ataques XSS

más información: XSS con utf-7

El documento de 2008 de Blake Franz de Leviathan Security - enlace - identifica algunos de los espacios de problemas originales con conjuntos de caracteres.

Algunas herramientas identifican y explican correctamente este problema, como Burp Suite Professional - enlace

Verá una mención de los juegos de caracteres en las Guías de prueba de OWASP en XSS almacenados:

  

Esta falla de diseño puede ser explotada en los ataques de manejo inadecuado de MIME del navegador.   Por ejemplo, los archivos de apariencia inocua como JPG y GIF pueden contener   Carga útil XSS que se ejecuta cuando son cargadas por el navegador. Esta   es posible cuando el tipo MIME para una imagen como image / gif puede   en su lugar se establece en texto / html. En este caso el archivo será tratado por   El navegador del cliente como HTML.

     

También considere que Internet Explorer no maneja los tipos MIME en el   de la misma manera que Mozilla Firefox u otros navegadores. Por ejemplo,   Internet Explorer maneja los archivos TXT con contenido HTML como contenido HTML.   Para obtener más información sobre el manejo de MIME, consulte los documentos técnicos   sección al final de este capítulo.

Puede encontrar más información en la página de Wikipedia en Charset Sniffing - enlace