微软的Anti-Cross Site Scripting Library旨在方便开发人员对HTML输出进行编码(encode)以避免跨站脚本攻击(XSS)。与其他的编码库不同,这个脚本库采用的是“Principle of Inclusions”,通过定义合法的或允许的字符集合,对不在这个集合内的其他字符则进行相应的编码。结果是,这方法对XSS攻击的防范极其有效。
根据 ACE Team 博客,你应该升级到这个版本的五大理由是:
1。更多的Encoding方法,除了HtmlEncode和UrlEncode方法外,这个版本还提供了HtmlAttributeEncode,JavaScriptEncode,VisualBasicScriptEncode,XmlEncode,XmlAttributeEncode 5个方法!
2。对Partially Trusted Caller Attribute (PTCA)的支持
3。大为改进的文档,例程和实用教程
4。End User License Agreement (EULA)更为清晰和灵活
5。升级路径极其容易,因为这个版本里仍然支持旧的命名空间
主页:
Anti-Cross Site Scripting Library
http://msdn2.microsoft.com/en-us/security/aa973814.aspx
下载处:
Microsoft Anti-Cross Site Scripting Library V1.5
http://www.microsoft.com/downloads/details.aspx?FamilyId=EFB9C819-53FF-4F82-BFAF-E11625130C25&displaylang=en
打印 | 张贴于 2006-11-21 06:03:00 | Tag:ASP.NET/IIS
留言反馈
还需要新的吗?菜鸟一名~