藤岡です。

>>>> finenameがあったらASCII-8BIT固定にするのがいいかなと思っています。
>>>> ファイルも特別扱いしない方がいいと思いますか？
>>> Content-Type を見ればデータが文字列かバイナリかはわかるので、
>>> それを見るのがいいのではないでしょうか。
>>>
>> 投稿してから私もそのほうがいいなと思っていました。
>> Content-Typeを見るように作ってみます。
> 
> 受け取るCGI側ではなく送るUser-Agent側でASCII-8BITになるかどうか
> 決められると言うことは、encodingのチェックをすり抜けられるリクエストを
> 送りつけられると言うことになりそうですが、セキュリティ的に問題は
> ないのでしょうか?
> 
エンコーディングのチェックはあくまで使い勝手の問題の話であって
セキュリティチェックのつもりはなかったので、問題ないと思っていました。
現状のcgi.rbではエンコーディングチェックは存在せず、
送りつけられたものはオブジェクトを生成します。
これをチェックするとしたら、
CGI.newでオプテョンを渡して受け取るエレメントとエンコーディングを
逐一指定する必要が出てきます。
そうなると使い勝手が悪いかなと思っています。