ま、上で述べたことはちょっと知っている人は知っているわけで、いまさら素人の私が言うべきことでもないんです。でもね。ちょっと深く考えてみると…
最初にテキストありき。
で、そのテキストってどんな？　EUC-JPだけで書かれているの？UTF-8としてまともなの？とか、暗黙の了解事項があるわけです。　ここを意識していないと、XSS防衛以前に、マークアップとして失敗なんですよね。　今日はそれが言いたかったんです。駄目なウェブアプリをまた見てしまったので…HTMLとしての基本がなってないからXSSホウルがあるという…
なお、ブラウザを過度に信用しないようにもしたいですね。規格できまっている以外の信号を出力しているときにはブラウザの実装しだいでどんな変なことでも起こりますから。ね？