うまく言えないけれど。エンコーディング上問題があるデータ列を用いてXSSを仕掛けられたとして防衛策は、出力時点のエスケープだけじゃ駄目だろうと予てからの感想。　入力時点でエンコーディングの整合性を見張っておいて、その上で処理を行ってから、出力時点でXSS対策としてのエスケープをするのが常道なんだろうなぁ。なので出力時点で不正な部分をカットしたりしているとキモい気がする。
うーん。全部過激にエスケープとかするときも、本来あっちゃいけない表現をエスケープするのってできるのかちゅうか。例えば。utf-8としてありえないデータをもらったのに出力時点まで放っておくとか変じゃないの？このあたり、書いてる文献ってどこかにありませんか？＞識者殿各位
教えてくれないと私、しばらくのあいだスネます。（嘘

追記:不正データによる終了時のステータスコードで悩む時
bakera.jpに興味深い論議が掲載されていますヨ♪＞id:hasegawayosukeさん