Leyendo sobre XSS y sus contramedidas en enlace , dice (en el segundo párrafo del enlace) que:
[...] el soporte para los juegos de caracteres Unicode por los navegadores podría dejar una aplicación abierta a ataques XSS si los algoritmos de comillas HTML solo buscan caracteres mal conocidos.
Entonces, ¿cómo se explota una página que solo busca caracteres Unicode mal conocidos? Un ejemplo sería muy apreciado.
Un problema podría ser que si asumes que la entrada está en una codificación diferente a la del navegador. (Si no le dice al navegador qué codificación debe usar, la mayoría de los navegadores intentan adivinarlo).
Este problema, por ejemplo, ha alcanzado página 404 de Google .
Aquí se explotó el hecho de que IE adivina la codificación de una página como UTF-7 si encuentra una secuencia UTF-7 válida en los primeros 4096 bytes de la respuesta. Con la pequeña página 404 de Google, esto puede ser forzado por un atacante.
Así que siempre dile al navegador qué codificación usas. Y la lista blanca es mejor que la lista negra.