You definitely do not want to allow someone to insert &lt;script&gt; tags! Even if they are inside of &lt;pre&gt; tags they can still be executed by browsers. <div><br></div><div>If you want to allow people to post code samples on your site, what you really need is to output encode those script tags. This will change them from raw HTML tags into HTML entities that will display as code samples, but not execute. </div>
<div><br></div><div>Take a look at the ESAPI project for this functionality. You want something like this: </div><div><br></div><div><pre><code>//performing output encoding for the HTML context
String safeOutput = ESAPI.encoder().encodeForHTML( input );</code></pre></div><div><br></div><div>Regards,</div><div>August <br><br></div><div><br><div class="gmail_quote">On Tue, Sep 20, 2011 at 2:18 PM, Mohamad El-Husseini <span dir="ltr">&lt;<a href="mailto:husseini.mel@gmail.com">husseini.mel@gmail.com</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">Hi everyone!<div><br></div><div>I want to use AntiSamy to allow users to post code snippets and other things. Is it possible to customize AntiSamy to allow script tags that are nested in code/pre tags?<div>
<br></div><div>I want to use it in a similar capacity to StackOverFlow: they allow most basic HTML, including any tags found inside pre/code tags.</div>
<div><br></div><div>AntiSamy strips such tags regardless. Is AntiSamy the right tool for what I&#39;m trying to do? Andy advice would be appreciated.</div></div><div><br></div><div>Thank you.</div>
<br>_______________________________________________<br>
Owasp-antisamy mailing list<br>
<a href="mailto:Owasp-antisamy@lists.owasp.org">Owasp-antisamy@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-antisamy" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-antisamy</a><br>
<br></blockquote></div><br></div>