Microsoft の Anti-Cross Site Scripting Library を試用したそうで。

さらに、このライブラリで対処可能な問題であっても、そもそもそれはWebブラウザ（主にIE）が対処すべきじゃないかというha.ckers.orgの指摘（下記）に、私もうなずいてしまう。

激しく同意。それに、IEの仕様のおかげでこのライブラリを使っても防げない(ライブラリを適用できない)状況もあるわけですし。例えば CVE-2005-3312。有名な、IE の Content-Type: 無視による XSS の話。Webアプリケーション側は画像ファイルとして扱っているにも関わらず、IE がそれを HTML だとして取り扱うのがそもそも問題なんだけど、Web アプリ側としては(フォーマットが壊れているとしても)画像ファイルを吐き出しているわけだから、出力する HTML をエスケープするなんてのは対策としてあり得ない。これ以外にも、こういった IE の「仕様」を改善してくれないことには、なかなか安全な Web アプリケーションなんて難しいと思うんですけど、どうですかね。