@kusano_k

「ユーザーが入力するデータを画面に表示する場合には」だと、ユーザーエージェントとかデータベース中のデータを表示する場合が漏れそう。出力の直前に動的なものは全てエスケープするのが定跡らしいけど……。
あなたのWebサービスは狙われている！…
liginc.co.jp/programmer/arc…