IISのXSSに関してジェームズ吉田さん【誰】が実証コードを発表しておいでだった。パッチ公開済みの例の件。エンコード変換を強制させる手法。なるほど。UTF-7。　驚いたのは昨年年末に報告済みだったのが今年の9月のパッチであったということ。　もっと簡単になおりそうなものなのだが。　もっとがんばれマイクロソフト。 というよりXSSを軽視しているのだろうなぁ。