Eine URL, auf die ich keinen Einfluss habe, muss als Ziel für einen iframe herhalten. Diese URL kann alles mögliche an Zeichen enthalten.
Klar sorge ich dafür, dass kritische Zeichen escaped sind.

offensichtlich nicht richtig.

Sowohl mit Perl:
use CGI;

print CGI::escape( 'test?x+y=12');

als auch JS:

alert( escape('test?x+y=12'));

wird das Pluszeichen umgewandelt.

Dann habe ich die "+" maskiert, obwohl sie nicht zu den kritischen Zeichen gehören (sicher ist sicher dacht ich mir)

Doch, alles ausser a-z und 0-9 und '/', '.' sind "kritische" Zeichen in der URL.

Struppi.