Hi August,<div><br></div><div>Thank you for the response. Let me clarify.</div><div><br></div><div>My users will post markdown. I convert this markdown to HTML, then run it through AntiSamy. I then save the result in the database.</div>
<div><br></div><div>This works well. However, I also need a raw version of the markdown. This allows my users to see their original post exactly as it were if they decide to edit a post. I want to keep them away from any HTML. When editing a post, the textarea will show the raw markdown version.</div>
<div><br></div><div>This presents a huge problem. I can&#39;t save the raw version without sanitizing it. But if I run AntiSamy on it, AntiSamy will remove everything that the markdown converter would have converted to safe HTML, such as code and pre tags. Using it would result in massive inconsistencies between the HTML and raw versions in my database.</div>
<div><br></div><div>I can&#39;t run AntiSamy before converting to HTML because it will strip tags that the markdown version would have made safe. I hope this makes sense.</div><div><br></div><div>Please look at this illustration of what I mean. <a href="http://imgur.com/czN1t">http://imgur.com/czN1t</a> If you notice, Original Text to AntiSamy is completely stripped, while HTML to AntiSamy is fine..<br>
<br><div class="gmail_quote">On Tue, Sep 20, 2011 at 6:12 PM, augustd <span dir="ltr">&lt;<a href="mailto:augustd@codemagi.com">augustd@codemagi.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
You definitely do not want to allow someone to insert &lt;script&gt; tags! Even if they are inside of &lt;pre&gt; tags they can still be executed by browsers. <div><br></div><div>If you want to allow people to post code samples on your site, what you really need is to output encode those script tags. This will change them from raw HTML tags into HTML entities that will display as code samples, but not execute. </div>

<div><br></div><div>Take a look at the ESAPI project for this functionality. You want something like this: </div><div><br></div><div><pre><code>//performing output encoding for the HTML context
String safeOutput = ESAPI.encoder().encodeForHTML( input );</code></pre></div><div><br></div><div>Regards,</div><div>August <br><br></div><div><br><div class="gmail_quote"><div><div></div><div class="h5">On Tue, Sep 20, 2011 at 2:18 PM, Mohamad El-Husseini <span dir="ltr">&lt;<a href="mailto:husseini.mel@gmail.com" target="_blank">husseini.mel@gmail.com</a>&gt;</span> wrote:<br>

</div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div></div><div class="h5">Hi everyone!<div><br></div><div>I want to use AntiSamy to allow users to post code snippets and other things. Is it possible to customize AntiSamy to allow script tags that are nested in code/pre tags?<div>

<br></div><div>I want to use it in a similar capacity to StackOverFlow: they allow most basic HTML, including any tags found inside pre/code tags.</div>
<div><br></div><div>AntiSamy strips such tags regardless. Is AntiSamy the right tool for what I&#39;m trying to do? Andy advice would be appreciated.</div></div><div><br></div><div>Thank you.</div>
<br></div></div>_______________________________________________<br>
Owasp-antisamy mailing list<br>
<a href="mailto:Owasp-antisamy@lists.owasp.org" target="_blank">Owasp-antisamy@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-antisamy" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-antisamy</a><br>
<br></blockquote></div><br></div>
</blockquote></div><br></div>