Perhaps the approach should be to first describe all the common defensive techniques;<br>e.g., input validation, canonicalization, output encoding, sandboxing, cryptography, etc.<br>followed by some specific sections to address common vulnerabilities such as XSS.<br>
That means that the XSS section (say) could be a lot shorter because the background<br>of all the defensive techniques would have already been described and all you would<br>need to do would be to show how to make all the relevant defenses play together<br>
correctly to address the problem at hand.<br><br>-kevin<br><br><div class="gmail_quote">On Thu, May 17, 2012 at 11:00 AM, Jim Manico <span dir="ltr"><<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div bgcolor="#FFFFFF"><div>I'd personally like to see both an Output Encoding section AND a XSS defense section.</div>
<div><br></div><div>XSS defense involves:</div><div><br></div><div>Output Encoding, Input validation, safe json parsing, sandboxing, DOM XSS api avoidance, HTML policy based validation, etc. XSS defense is way WAY more than just OE.</div>

<div><br></div><div>Aloha,</div><div class="im"><div><br><div>--</div><div>Jim Manico</div><div>VP, Security Architecture</div><div>WhiteHat Security</div><div>(808) 652-3805</div></div><div><br>On May 16, 2012, at 9:02 PM, Abraham Kang <<a href="mailto:abraham.kang@owasp.org" target="_blank">abraham.kang@owasp.org</a>> wrote:<br>

<br></div><div></div></div><div><div class="h5"><blockquote type="cite"><div><p>I think output encoding can apply to any executable context including command line output, xml, shell script, sql.  If the chapter is to focused on xss, I can modify it.</p>


<p>--Abe </p>
<div class="gmail_quote">On May 14, 2012 8:10 PM, "Jim Manico" <<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">



  
    
  
  <div bgcolor="#FFFFFF" text="#000000">
    Abe,<br>
    <br>
    Can we rename the output encoding section and call it "XSS
    Prevention" instead?<br>
    <br>
    Complete XSS prevention requires validation, HTML policy validation,
    proper JSON parsing and a host of other techniques other than just
    output encoding. <br>
    <br>
    Fair? Interested?<br>
    <br>
    Aloha,<br>
    Jim<br>
    <br>
    <br>
    <blockquote type="cite">
      <pre>I want to volunteer to take the Output Encoding Chapter.  I added the
chapter a while ago but it has been sitting idle.

The content is pretty much done but may need minor reorganization.

Regards,
Abe

</pre>
      <br>
      <fieldset></fieldset>
      <br>
      <pre>_______________________________________________
Owasp-guide mailing list
<a href="mailto:Owasp-guide@lists.owasp.org" target="_blank">Owasp-guide@lists.owasp.org</a>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-guide" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-guide</a>
</pre>
    </blockquote>
    <br>
    <br>
    <div>-- <br>
      Jim Manico<br>
      <br>
      Connections Committee Chair<br>
      Cheatsheet Series Product Manager<br>
      OWASP Podcast Producer/Host<br>
      <br>
      <a href="mailto:jim@owasp.org" target="_blank">jim@owasp.org</a><br>
      <a href="http://www.owasp.org" target="_blank">www.owasp.org</a></div>
  </div>

</blockquote></div>
</div></blockquote></div></div></div>
<br>_______________________________________________<br>
Owasp-guide mailing list<br>
<a href="mailto:Owasp-guide@lists.owasp.org">Owasp-guide@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-guide" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-guide</a><br>
<br></blockquote></div><br><br clear="all"><br>-- <br>Blog: <a href="http://off-the-wall-security.blogspot.com/" target="_blank">http://off-the-wall-security.blogspot.com/</a><br>"The most likely way for the world to be destroyed, most experts agree,<br>
is by accident. That's where we come in; we're computer professionals.<br>We *cause* accidents."        -- Nathaniel Borenstein<br>