XSSチャレンジというサイトをid:miniturboさんから教えてもらいました。やはり意識を統一したり、いろいろな変形パターンでのアタックを実際にしてみたりすることで、意識してアプリをつくらないといかんなぁというかんじです。某セキュリティ会社がいっていたようなフレームワークがあるから安全!!なんてことはないんです。あくまでフレームワークは統一的にPOST/GET値のチェックをしやすい機構を提供できるように手段を提供しているだけであって、それを使えるかどうかというのは、開発者の想像力次第(use your imagination)なのです。