以下は、昨日の文を書いていたときに平行して考えたもののメモです。

Attribute values

In attribute values enclosed with double quotes, the double quotes are special because they mark the end of the attribute value.

In attribute values enclosed with single quote, the single quotes are special because they mark the end of the attribute value.

Attribute values without any quotes make the white-space characters such as space and tab special.

"&" is special when used in conjunction with some attributes because it introduces a character entity.

上記引用部分は、XSS対策にあたって、≪属性の追加≫を拒否するための方策についてまとめたという文脈で理解してよいと思います。
昨日はFirefoxを対象ブラウザとしたときに white-space characters such as space and tab special. という表現をあえて読み間違ってみたのですが、こと IE となると、 文意を読み間違えなくとも、XSS対策としては不備である、ということが言えると思います。つまり、 Attribute values without any quotes make the white-space characters such as space and tab special. では駄目なのだ、ということです。すなわちこれだけでは IE を対象に≪属性の追加≫ができてしまいます。
IEにおいて、属性記述のひとかたまり、すなわち

属性1=属性の値1

を他のひとかたまりと区分する方法が、非標準になりますが、いくつかあるからです。最初のパターンは、スラッシュを使うものです。

属性1=属性の値1/属性2=属性の値2

次のパターンは、「`」を使う方法です。

属性1=`属性の値1`属性2=`属性の値2`

他のブラウザにおいて非標準で、属性の追加を許してしまうような構文があるかどうか、全部調べきることは困難です。
そもそも、Attribute values without any quotesを作った時点で。負け。

20080127追記::手元のOperaで、属性と属性との間をわけるスペースのようなものとして、U+2028 あたりを…
HTMLだけでなく、JavaScript記述にまで手を広げると、Firefoxなんかでも。