Jim, Everyone,<br><br>I guess the core of the questions is, does HTML have to be valid XML (XHTML) in order for it to be properly validated against the policy file?<br><br>Happy Holidays,<br>--<br>Sam Daoud<br>Direct: 650.360.2233
<br>Cell: 650.454.7711<br>Skype/IM: rtmedia<br><a href="mailto:sam@rinklefree.com">sam@rinklefree.com</a><br><br><br><div><span class="gmail_quote">On 12/12/07, <b class="gmail_sendername">Jim Manico</b> &lt;<a href="mailto:jim@manico.net">
jim@manico.net</a>&gt; wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">


  

<div bgcolor="#ffffff" text="#000000">
Sam,<br>
<br>
If can find a solution to fixing broken HTML and making it compliant
XHTML while still meeting the original designers intent and exact look
and feel on all major browsers, let me know so I can invest in your
company! I think what you are describing is nearly impossible - without
changing the intention and rendering of the original mark-up&nbsp; -
especially when you get into complex rich-client code.<br>
<br>
Please anyone correct me if I&#39;m wrong.....<br>
<br>
- Jim<br>
<br>
Sam Daoud wrote:
<blockquote type="cite"><div><span class="e" id="q_116d144e11c5abe2_1"><font size="2"><span style="font-family: arial,sans-serif;">Hello,</span><br style="font-family: arial,sans-serif;">
  <br style="font-family: arial,sans-serif;">
  <span style="font-family: arial,sans-serif;">Why does anti-samy first
&quot;clean up&quot; any &quot;broken&quot; HTML before parsing/validating it? Is there a
true technical need or does it simply make for easier parsing?
  </span><br style="font-family: arial,sans-serif;">
  <span style="font-family: arial,sans-serif;">With user generated
content, I want the user to be able to see the same exact (often
malformed) HTML they used in entry when they go back to edit.
  </span><br style="font-family: arial,sans-serif;">
  <br style="font-family: arial,sans-serif;">
  <span style="font-family: arial,sans-serif;">Can anti-samy or a
similar implementation of anti-samy do that while still effectively
protecting against XSS threat?
  </span><br style="font-family: arial,sans-serif;" clear="all">
  <br style="font-family: arial,sans-serif;">
  <span style="font-family: arial,sans-serif;">Thanks a lot,</span><br style="font-family: arial,sans-serif;">
  <span style="font-family: arial,sans-serif;">--</span><br style="font-family: arial,sans-serif;">
  <span style="font-family: arial,sans-serif;">Sam Daoud</span><br style="font-family: arial,sans-serif;">
  <span style="font-family: arial,sans-serif;">Direct: 650.360.2233
  </span><br style="font-family: arial,sans-serif;">
  <span style="font-family: arial,sans-serif;">Cell: 650.454.7711</span><br style="font-family: arial,sans-serif;">
  <span style="font-family: arial,sans-serif;">Skype/IM: rtmedia
  </span><br style="font-family: arial,sans-serif;">
  <span style="font-family: arial,sans-serif;"><a href="mailto:sam@rinklefree.com" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">sam@rinklefree.com</a></span><br style="font-family: arial,sans-serif;">

  <span style="font-family: arial,sans-serif;"><a href="http://www.RinkleFree.com" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">http://www.RinkleFree.com</a></span><br style="font-family: arial,sans-serif;">

  </font>
  </span></div><pre><hr size="4" width="90%">
_______________________________________________<br>Owasp-antisamy mailing list<br><a href="mailto:Owasp-antisamy@lists.owasp.org" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">Owasp-antisamy@lists.owasp.org
</a>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-antisamy" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">https://lists.owasp.org/mailman/listinfo/owasp-antisamy</a>
  </pre>
  <pre><hr size="4" width="90%">
No virus found in this incoming message.
Checked by AVG Free Edition. 
Version: 7.5.503 / Virus Database: 269.17.1/1182 - Release Date: 12/12/2007 11:29 AM
  </pre>
</blockquote>
<br>
<pre cols="72">-- <br>Best Regards,<br>Jim Manico<br>VP Software Engineering, Codemagi Inc.<br>Application Security Instructor, Aspect Security<br><a href="mailto:jim@codemagi.com" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">
jim@codemagi.com</a>
808.652.3805 (c)
484.259.3805 (f)</pre>
</div>

<br>_______________________________________________<br>Owasp-antisamy mailing list<br><a onclick="return top.js.OpenExtLink(window,event,this)" href="mailto:Owasp-antisamy@lists.owasp.org">Owasp-antisamy@lists.owasp.org</a>
<br><a onclick="return top.js.OpenExtLink(window,event,this)" href="https://lists.owasp.org/mailman/listinfo/owasp-antisamy" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-antisamy</a><br><br></blockquote>
</div>