今回の 2ch の XSS については、2chのサーバが外部のサービス経由のデータをHTMLに組み入れる際に、Shift_JIS において文字として完結していない半端バイトと、HTMLタグの属性値のダブルクォート (") が結合して Shift_JIS の2バイト文字としてブラウザが扱うことにより、属性値の終了を意味するダブルクォート (") が消失してしまい、メールアドレスとして入力した不正な JavaScript コードが実行されてしまうというものです。

　5日前にもコメント [srad.jp] しましたが、詳しくは、文字コードの脆弱性はこの3年間でどの程度対策されたか? [slideshare.net] を読んでいただけると、原因と対策が分かりやすいです。

　マルチバイトXSSに関しては、プラットフォーム側での対策は進んでいますが、ユーザー（解説本の著者を含む）の理解が不十分です。大きな書店でWebプログラミング言語の解説本を読むと、並んでいる大半の書籍にXSS対策の解説ページにおいて、マルチバイトXSSの脆弱性のあるコードが掲載されている のが現状です。

　例えば、半端な先行バイトによるXSSの対策がされている PHP の 5.3.1 より新しいバージョンであっても、単に htmlspecialchars 関数を使っただけでは、文字コード UFT-8 として処理されてしまいますから（default_charset の指定がある場合を除く）、Shift_JIS などの文字コードを使っている場合には脆弱性となるのです。

// 【PHP における脆弱性のあるコード】 … 大半の解説書籍においてこのような脆弱性のあるコードが掲載されています
echo '<a href="mailto:' . htmlspecialchars($_POST['email'], ENT_QUOTES) . '">メール</a>';
]

　正しくは、オプションの引数として、入力値の文字コードを指定する必要があります。また、その場合であっても、入力値に当該文字コードにおいて不正なデータが含まれていたり、文字として完成していない半端データが含まれていることは、あらゆる不具合や場合によっては脆弱性の原因となります。従って、ユーザーから入力されたデータ（もしくは外部サービスなどから渡されたデータ）は、全て文字エンコーディングの validation をするべきです。

以下は、望ましいコードです。

// 【適切なコード】

// 下記のように、不正な文字エンコードのチェックと、文字コードを指定した上でのエスケープ処理の両方をやるべきです。

// 文字として不正な部分のみを削除するような処理は、一般に望ましくないのでエラーにすべきです（削除した結果、問題のあるデータが生成されるケースもあることから、そのような脆弱性を生むようなコードの書き方はしない方が無難です）。
// 従って、半端バイトなどのデータが少しでも含まれていたら、その部分だけ削除するのではなく、そのままエラーとして処理します。
if ( !mb_check_encoding($_POST['email'], 'Shift_JIS') ) {
  die('文字エンコーディングが不正です。');
}

// 上記のエラーチェックの他に、エスケープ処理も行います。
// PHP 5.5 より新しい場合 default_charset で文字コードを指定することもできます
echo '<a href="mailto:' . htmlspecialchars($_POST['email'], ENT_QUOTES, 'Shift_JIS') . '">メール</a>';

　上記のコードにおける、入力時点での不正なエンコーディングのチェック、出力時点でのエスケープ処理のいずれかをやっていれば、外部サービス・外部データベース・外部APIなどを使わない限り、マルチバイトXSSは完全に防げますが、ユーザーからの入力を受け付ける段階での文字エンコーディングの validation と、HTML 出力段階でのエスケープ処理の、両方をやっておくことをお勧めします。前者はやらないと、文字として完結していない不正なデータが、データベース内のデータの破損やエラー発生などの不具合の原因にもなりますし、後者に関しては、外部のサービスなりAPIなりデータベースを経由した際に不正・破損データが含まれた場合の対策ともなります。