Поддержку UTF-7 уберут из браузеров?
Мало кто вообще знает, что есть такая кодировка как UTF-7, я как-то о ней рассказывал. Вкратце, кодировка нужна, чтобы передавать символы Unicode там, где канали передачи семибитные. Такое сейчас, наверное, мало где есть, но UTF-7 используется и в других местах — в почтовом протоколе IMAP4 названия папок кодируются модифицированным UTF-7.
Вот как выглядит «Hello! Привет, ребята!» в UTF-7: «Hello+ACE- +BB8EQAQ4BDIENQRC-, +BEAENQQxBE8EQgQwACE-».
В общем, бесполезная штука. Эту кодировку поддерживают некоторые браузеры (например, IE или FF) и при использовании автоопределения кодировки она несёт в себе потенциальную угрозу: можно этой кодировкой закодировать какую-нибудь вредную последовательность, вроде тегов SCRIPT, его пропустят фильтры, а «умный» браузер, если подумает, что текст в кодировке UTF-7 (например, на англоязычной странице), расшифрует закодированное и выполнит вредоносное.
Фильтровать её трудно: плюсы, минусы, буквы, цифры, иногда за UTF-7 можно принять обыкновенные математические формулы.
И вот WHATWG решила выпилить UTF-7 из браузеров:
User agents must not support the CESU-8, UTF-7, BOCU-1 and SCSU encodings.
А вышедший недавно FireFox 5, уже убрал у себя поддержку этой кодировки. Туда ей и дорога!