From:web应用安全观察站
MS Anti-XSS Lib实在是一个非常好的工具库,从3.0版本开始就内含了一个SRE(Security Runtime Engine),SRE实现为一个HttpModule。
现在3.1版本也发布了,主要是做了性能优化以及改进的SRE功能,提供了两个新的安全方法
-
- GetSafeHtml
- GetSafeHtmlFragment
MS Anti-XSS Lib对于开发安全的ASP.NET应用程序有这非常好的用途,不仅仅针对XSS,你只要对SRE做针对性的修改,完全可以是一个轻量级的Web Application Firewall,尤其在IIS7.x下,可以完全拦截到非ASP/ASP.NET的应用请求,如何去利用就看个人的想法了。
OWASP .NET ESAPI 0.2前段日子也发布了,不过奇怪的这个版本大量删减了前一个版本的方法以及类的数量。另外一点就是这个版本就已经采用了MS Anti-XSS来作为XSS防护的工具库了。
相关下载:
Microsoft Anti-Cross Site Scripting Library V3.1
本文还暂无回复