クロスサイトスクリプティングの危険性を解説した「CERT Advisory CA-2000-02 Malicious HTML Tags Embedded in Client Web Requests」(2000年2月)には、クロスサイトスクリプティングを防止する対策として文字エンコーディングを明示的に指定すべきある、と明確に記載されています。
In addition, web pages should explicitly set a character set to an appropriate value in all dynamically generated pages.
加えて、動的に生成されたすべてのWebページは適切な文字コードセットを明示的に設定されなければならない
HTTP/1.1 recipients MUST respect the charset label provided by the sender; and those user agents that have a provision to "guess" a charset MUST use the charset from the content-type field if they support that charset, rather than the recipient's preference, when initially displaying a document.
When no explicit charset parameter is provided by the sender, media subtypes of the "text" type are defined to have a default charset value of "ISO-8859-1" when received via HTTP. Data in character sets other than "ISO-8859-1" or its subsets MUST be labeled with an appropriate charset value.