I saw somewhere that everything that goes out of hte server should be HTML encoded (no white listing). So the special meaning of all the non alpha numerics are masked. Any comments on this?<br><br>for example...a search string that contains XSS characters &#39;&lt;script&#39; will be converted to &amp;#60;script.<br>

The browser when reading the encoded chars will not interpret the special meaning of &#39;&lt;&#39; it will be displayed as &#39;&lt;&#39; ie. there is no double decoding.<br><br><br>any comments on this?<br><br><div class="gmail_quote">

On Wed, Jun 10, 2009 at 3:48 PM,  <span dir="ltr">&lt;<a href="mailto:raxitsheth2000@gmail.com">raxitsheth2000@gmail.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">

you may find many  stuff here.<br><br><a href="http://www.xssed.com" target="_blank">www.xssed.com</a><br><br>Happy (anti-)Hacking :)<br><br>-Raxit Sheth<br><a href="http://www.m4mum.com" target="_blank">www.m4mum.com</a> <br>

<div><div></div><div class="h5"><br>On Jun 10, 2009 1:15pm, Chaitanya &lt;<a href="mailto:chaitanya.sharma@gmail.com" target="_blank">chaitanya.sharma@gmail.com</a>&gt; wrote:<br>&gt; Hi.<br>&gt; <br>&gt; I&#39;m looking for help (tuts, papers, comments etc) related to using whitelists for protection against XSS.  I need to help some UI developers implement whitelists in a java (JSP) project.  Any help from the community will be appreciated. I&#39;m sure this discussion will also profit others.<br>

&gt; <br>&gt; <br>&gt; <br>&gt; Regards,<br>&gt; Chaitanya<br>&gt; <br>&gt; <a href="http://blog.chaitanyasharma.in" target="_blank">http://blog.chaitanyasharma.in</a><br>&gt;</div></div><br>_______________________________________________<br>


OWASP-Bangalore mailing list<br>
<a href="mailto:OWASP-Bangalore@lists.owasp.org">OWASP-Bangalore@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-bangalore" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-bangalore</a><br>
<br></blockquote></div><br>