On Tue, Jul 15, 2008 at 11:27 AM, Igor Bukanov &lt;<a href="mailto:igor@mir2.org">igor@mir2.org</a>&gt; wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
2008/7/15 Mark Miller &lt;<a href="mailto:erights@gmail.com">erights@gmail.com</a>&gt;:<br>
<div class="Ih2E3d">&gt; As we&#39;ve found with the ES3-specified stripping of Cf characters, the main<br>
&gt; effect of such transparent stripping of characters is to help attackers slip<br>
&gt; XSS attacks past defensive filters. ES3.1 agrees with ES4 that BOMs and Cfs<br>
&gt; should be treated as whitespace rather than stripped.<br>
</div></blockquote><div><br>Speaking only for myself, yes, I&#39;d be even happier with the syntax error. I have proposed such harsh treatment before but various objections were raised. In any case, again speaking only for myself, I&#39;m happy with any solution that repairs the security holes created by stripping and avoids introducing new holes. <br>
</div></div><br>-- <br> Cheers,<br> --MarkM