<HTML><head><title>[Owasp-antisamy] onsiteURL and offsiteURL accept urls withparameters</title><meta http-equiv="Content-Type" content="text/html; charset=unicode"><meta content="MSHTML 6.00.6001.18063" name="GENERATOR"></head><body><span style="FONT-SIZE: 10pt; FONT-FAMILY: Arial; FONT-WEIGHT:Normal;">IMO, AntiSamy should not allow all arbitrary urls. There should at least be hooks to verify urls through malware blacklists like Google's malware blacklist API provides. I would suspect that Slashdot is doing something like this already.<br><br>- Jim<br></span><br><br><hr><span style="font-size:10pt;font-family:Tahoma; font-weight:bold">From: </span><span style="font-size:10pt;font-family:Tahoma; font-weight:normal;">Arshan Dabirsiaghi &lt;arshan.dabirsiaghi@aspectsecurity.com&gt;</span><br><span style="font-size:10pt;font-family:Tahoma; font-weight:bold">Sent: </span><span style="font-size:10pt;font-family:Tahoma; font-weight:normal;">Thursday, June 12, 2008 6:57 AM</span><br><span style="font-size:10pt;font-family:Tahoma; font-weight:bold">To: </span><span style="font-size:10pt;font-family:Tahoma; font-weight:normal;">Carlos Aguayo &lt;carlos.aguayo@gmail.com&gt;; owasp-antisamy@lists.owasp.org</span><br><span style="font-size:10pt;font-family:Tahoma; font-weight:bold">Subject: </span><span style="font-size:10pt;font-family:Tahoma; font-weight:normal;">Re: [Owasp-antisamy] onsiteURL and offsiteURL accept urls withparameters</span><br><br><div dir="ltr"><font face="Arial" color="#000000" size="2">There are two&nbsp;reasons why we allow arbitrary HTTP URLs:</font></div><ol dir="ltr"><li><div><font face="Arial" size="2">It's the Slashdot policy file, so we do exactly what Slashdot does.</font></div></li><li><div><font face="Arial" size="2">That is the point of AntiSamy in general: to allow rich input.</font></div></li></ol><p><font face="Arial" size="2">You can lock down a policy file as much as you want, but the more you lock it down, the less useful it is to your users.&nbsp;If you prevent URL parameters from being in a URL, users can't put up a link to a CNN article, or their profile page on a social network, etc.</font></p><p><font face="Arial" size="2">Hope that helps.</font></p><p><font face="Arial" size="2">Cheers,<br>Arshan</font></p><div dir="ltr"><br></div><div dir="ltr"><hr tabindex="-1"></div><div dir="ltr"><font face="Tahoma" size="2"><b>From:</b> owasp-antisamy-bounces@lists.owasp.org on behalf of Carlos Aguayo<br><b>Sent:</b> Thu 6/12/2008 11:35 AM<br><b>To:</b> owasp-antisamy@lists.owasp.org<br><b>Subject:</b> [Owasp-antisamy] onsiteURL and offsiteURL accept urls withparameters<br></font><br></div><div><p><font size="2">Hi,<br>By default both onsiteURL and offsiteURL accept url with parameters,<br>for example, the following link:<br><br>&lt;a href="<a href="http://mysite.com/?first=12345&second=34567">http://mysite.com?first=12345&amp;second=34567</a>"&gt;click here&lt;/a&gt;<br><br>would pass using AntiSamy slashdot policy. Ultimately using AntiSamy<br>an attacked shouldn't be able to dynamically craft th</font></p></div><br><br>[The entire original message is not included]</body></HTML>