<HTML dir=ltr><HEAD><TITLE>Re: [Owasp-antisamy] Why does   tags get escaped?</TITLE>
<META http-equiv=Content-Type content="text/html; charset=unicode">
<META content="MSHTML 6.00.6001.18183" name=GENERATOR></HEAD>
<BODY text=#000000 bgColor=#ffffff>
<DIV id=idOWAReplyText26088 dir=ltr>
<DIV dir=ltr><FONT face=Arial color=#000000 size=2>We are always happy to take patches of any kind. Either in regards to new features you'd like, or to fix bugs, or to implement functionality found in the Java version. </FONT></DIV>
<DIV dir=ltr><FONT face=Arial color=#000000 size=2></FONT>&nbsp;</DIV>
<DIV dir=ltr><FONT face=Arial color=#000000 size=2>=]</FONT></DIV>
<DIV dir=ltr><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<DIV dir=ltr><FONT face=Arial size=2>Arshan</FONT></DIV></DIV>
<DIV dir=ltr><BR>
<HR tabIndex=-1>
<FONT face=Tahoma size=2><B>From:</B> Mike Christensen [mailto:imaudi@comcast.net]<BR><B>Sent:</B> Wed 2/18/2009 3:45 PM<BR><B>To:</B> Arshan Dabirsiaghi<BR><B>Cc:</B> owasp-antisamy@lists.owasp.org<BR><B>Subject:</B> Re: [Owasp-antisamy] Why does &amp;nbsp; tags get escaped?<BR></FONT><BR></DIV>
<DIV>Thanks!&nbsp; Let me know if there's anything I can do to help, I don't have a ton of free time but I'm definitely interested in this project..<BR><BR>Mike<BR><BR>Arshan Dabirsiaghi wrote: 
<BLOCKQUOTE cite="" type="cite">
<DIV id=idOWAReplyText25882 dir=ltr>
<DIV dir=ltr><FONT face=Arial color=#000000 size=2>Sorry for the quiet response - I talked with Jerry who wrote the .NET version and he is trying to address this and other requests before releasing the next version. </FONT></DIV>
<DIV dir=ltr>&nbsp;</DIV>
<DIV dir=ltr><FONT face=Arial size=2>Thanks for helping us stay focused! We do need nudges every now and again.</FONT></DIV>
<DIV dir=ltr>&nbsp;</DIV>
<DIV dir=ltr><FONT face=Arial size=2>Arshan</FONT></DIV></DIV>
<DIV dir=ltr><BR>
<HR tabIndex=-1>
<FONT face=Tahoma size=2><B>From:</B> <A class=moz-txt-link-abbreviated href="mailto:owasp-antisamy-bounces@lists.owasp.org">owasp-antisamy-bounces@lists.owasp.org</A> on behalf of Mike Christensen<BR><B>Sent:</B> Wed 2/18/2009 3:31 PM<BR><B>To:</B> <A class=moz-txt-link-abbreviated href="mailto:owasp-antisamy@lists.owasp.org">owasp-antisamy@lists.owasp.org</A><BR><B>Subject:</B> Re: [Owasp-antisamy] Why does &amp;nbsp; tags get escaped?<BR></FONT><BR></DIV>
<DIV>
<P><FONT size=2>I'm sending this again as I never got a response to it..<BR><BR>Mike Christensen wrote:<BR>&gt; Hi guys - there appears to be a bug in AntiSamy (actually it might be<BR>&gt; more accurate to say there's a bug in the HtmlAgilityPack) that's<BR>&gt; kinda driving me nuts.&nbsp; It appears if you enter the HTML:<BR>&gt;<BR>&gt; Hello&amp;nbsp;There<BR>&gt;<BR>&gt; It gets converted to:<BR>&gt;<BR>&gt; Hello&amp;amp;nbsp;There<BR>&gt;<BR>&gt; Which is obviously not what I want.&nbsp; This is happening in<BR>&gt; AntiSamyDOMScanner.cs in the scan function on this line:<BR>&gt;<BR>&gt; string finalCleanHTML = doc.DocumentNode.InnerHtml;<BR>&gt;<BR>&gt; It appears the InnerHtml property actually escapes markup within the<BR>&gt; document.&nbsp; Are people aware of this issue and is there any documented<BR>&gt; work-around or planned fix?&nbsp; I think it's perfectly valid for HTML to<BR>&gt; safely contain these entities and I don't want markup to be escaped<BR>&gt; and displayed back to my users.&nbsp; For now, I've worked around this with:<BR>&gt;<BR>&gt; res = res.Replace("&amp;amp;nbsp;", "&amp;nbsp;");<BR>&gt;<BR>&gt; But that's a bit lame &lt;g&gt;<BR>&gt;<BR>&gt; Thanks!<BR>&gt; Mike<BR>&gt;<BR>_______________________________________________<BR>Owasp-antisamy mailing list<BR><A class=moz-txt-link-abbreviated href="mailto:Owasp-antisamy@lists.owasp.org">Owasp-antisamy@lists.owasp.org</A><BR><A href="https://lists.owasp.org/mailman/listinfo/owasp-antisamy">https://lists.owasp.org/mailman/listinfo/owasp-antisamy</A><BR></FONT></P></DIV></BLOCKQUOTE></DIV></BODY></HTML>