I had a case where an html looked like:: <br>&lt;?garbage style=&quot;width:expression(alert(&#39;XSS&#39;))&quot;?&gt; <br><br>The antisamy scanner passed it without throwing any error.<br>Of course it did eliminate the complete tag from clean html.<br>
<br>But when i removed &#39;?&#39; from the tag &lt;garbage style=&quot;width:expression(alert(&#39;XSS&#39;))&quot;&gt;, it did throw the error.<br><br>But i want antisamy to throw the error even in the first case.<br>Is there something i can mention in policy file that a tag name cannot contain anything apart from alphanumeric characters?<br>
<br>Regards,<br>Giriraj.<br>