Mohamad,<div><br></div><div>The onUnknownTag directive is documented here: <a href="http://code.google.com/p/owaspantisamy/downloads/detail?name=Developer%20Guide.pdf">http://code.google.com/p/owaspantisamy/downloads/detail?name=Developer%20Guide.pdf</a> but as you pointed out, it&#39;s not listed on the wiki.</div>

<div><br></div><div>I&#39;m not sure if that&#39;s because the wiki is out of date or because the directive was removed from future releases.</div><div><br></div><div>-Jason<br><br><div class="gmail_quote">On Wed, Sep 21, 2011 at 2:31 PM, Mohamad El-Husseini <span dir="ltr">&lt;<a href="mailto:husseini.mel@gmail.com">husseini.mel@gmail.com</a>&gt;</span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">Hi Jason,<div><br></div><div>Looking at the documentation, it seems that the onUnknownTag directive is not listed. I have not tested yet, but I will try.</div>

<div><br></div><div><a href="https://www.owasp.org/index.php/AntiSamy_Directives" target="_blank">https://www.owasp.org/index.php/AntiSamy_Directives</a></div>
<div><br></div><div>Is there no HTML encoder with a whitelist feature? I&#39;m tempted to just go ahead and encode everything. This way I can make all HTML input safe, The only HTML allowed is what comes back from the markdown to HTML parser, which will run after the encoder. This would break a requirement, but it&#39;s probably the best I can do for now outside of testing your suggestion.</div>


<div><br></div><div>Thanks,</div><div>Mohamad<div><div></div><div class="h5"><br><br><div class="gmail_quote">On Wed, Sep 21, 2011 at 1:19 PM, Jason Li <span dir="ltr">&lt;<a href="mailto:jason.li@owasp.org" target="_blank">jason.li@owasp.org</a>&gt;</span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I *think* the approach I outlined can potentially accomplish this idea.<div><br></div><div>My recollection is that with the onUnknownTag, anything not in the policy file will be encoded.</div><div><br></div><div>Hence, you can fill the policy file with *just* the designated tags you want (e.g. &lt;b&gt;, &lt;a&gt;. &lt;i&gt;, etc) and everything else will be encoded if you specify the onUnknownTag directive.</div>




<div><br></div><font color="#888888"><div>-Jason</div></font><div><div></div><div><div><br><div class="gmail_quote">On Wed, Sep 21, 2011 at 12:36 PM, Mohamad El-Husseini <span dir="ltr">&lt;<a href="mailto:husseini.mel@gmail.com" target="_blank">husseini.mel@gmail.com</a>&gt;</span> wrote:<br>




<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Thank you all. After doing some research on this I realized my approach is wrong.<div><br></div><div>I want to allow my users to type whatever they want. What I need is an HTML encoder that will encode everything apart from some designated tags, like &lt;b&gt;, &lt;a&gt;, and &lt;i&gt;.  In other words, I need the AntiSamy equivalent for encoding, not sanitizing.</div>





<div><br></div><div>I am not aware of something like that, but I&#39;m inclined to think there is. If anyone aware of something, please share.</div><div><br></div><div>Many thanks.<div><div></div><div><br><br>

<div class="gmail_quote">On Wed, Sep 21, 2011 at 12:24 AM, Jason Li <span dir="ltr">&lt;<a href="mailto:jason.li@owasp.org" target="_blank">jason.li@owasp.org</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Mohamad,<div><br></div><div>One way that you could potentially make this behavior is to leverage the &quot;onUnknownTag&quot; directive.</div>





<div><br></div><div>Using this directive, if a tag is not known (i.e. not explicitly in the policy file), it will HTML-encode the tag.</div>

<div><br></div><div>You could remove the script tag from the policy file, hypothetically causing such &quot;unknown&quot; tags to be encoded rather than removed.<br><div><br></div><div>Note that I&#39;m not certain off the top of my head if the new current release still supports this directive or if this strategy would work safely and accomplish your goal.</div>







<div><br></div><div><font color="#888888">-Jason<br><br></font><div class="gmail_quote"><div>On Tue, Sep 20, 2011 at 4:18 PM, Mohamad El-Husseini <span dir="ltr">&lt;<a href="mailto:husseini.mel@gmail.com" target="_blank">husseini.mel@gmail.com</a>&gt;</span> wrote:<br>






</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div></div><div>
Hi everyone!<div><br></div><div>I want to use AntiSamy to allow users to post code snippets and other things. Is it possible to customize AntiSamy to allow script tags that are nested in code/pre tags?<div><br></div><div>







I want to use it in a similar capacity to StackOverFlow: they allow most basic HTML, including any tags found inside pre/code tags.</div>
<div><br></div><div>AntiSamy strips such tags regardless. Is AntiSamy the right tool for what I&#39;m trying to do? Andy advice would be appreciated.</div></div><div><br></div><div>Thank you.</div>
<br></div></div><div>_______________________________________________<br>
Owasp-antisamy mailing list<br>
<a href="mailto:Owasp-antisamy@lists.owasp.org" target="_blank">Owasp-antisamy@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-antisamy" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-antisamy</a><br>
<br></div></blockquote></div><br></div></div>
</blockquote></div><br></div></div></div>
</blockquote></div><br></div>
</div></div></blockquote></div><br></div></div></div>
</blockquote></div><br></div>