<html>
<body>
Hi kupuers,<br><br>
I was wondering about how secure the HTML Filter in Kupu is so I did the
following little experiment:
<ul>
<li>By default, the &lt;font&gt; element isn't allowed in both the Kupu
HTML Filter and safe_html in Zope
<li>Added &quot;font&quot; to the list of valid_tags in safe_html in Zope
so that the &lt;font&gt; element can be rendered
<li>Edited a page in Plone and add the code &lt;font
color=&quot;blue&quot;&gt;test&lt;/font&gt; in the HTML source mode
<li>Switched back to normal WYSIWYG mode and save
<li>As expected, the &lt;font&gt; tags were removed, leaving the text
&quot;test&quot; there
<li>Tried adding the code &lt;font
color=&quot;blue&quot;&gt;test&lt;/font&gt; again but this time...
<li>Didn't switch back to the WYSIWYG mode. Instead, click the
&quot;Save&quot; button directly in the HTML source mode
<li>And the &lt;font&gt; element got saved this time!
</ul>Is it how the Kupu HTML Filter is supposed to work? If that is so,
is there a way to configure it so that it removes the banned elements in
both the WYSIWYG mode and the HTML source mode? I'm using Plone 2.5.5 and
Kupu 1.4.10. Thanks a lot!<br><br>
<x-sigsep><p></x-sigsep>
Regards,<br><br>
Alex</body>
</html>