<div dir="ltr">Atm, the core of ktp-text-ui is trying hard to escape things, parse links and auto-convert them, embed videos and bugzilla info, etc.<div><br></div><div>And the new default style breaks it all with careless innerHTML unescaping and post-processing.</div><div>For example, line</div><div>./data/styles/WoshiChat.AdiumMessageStyle/Contents/Resources/Footer.html:24:  messageNode.innerHTML = rawMessage.replace(/(@"*[\d\w]*)/, '<span class="atTag">$1</span>');</div><div>Breaks messages with @ in links, try «<a href="http://foo@example.org">http://foo@example.org</a>».</div><div><br>Html unescaping in line</div><div>./data/styles/WoshiChat.AdiumMessageStyle/Contents/Resources/Footer.html:22:  rawMessage = scrubHTML(rawMessage);<br>makes things like «<div style="position:absolute;left:0;right:0;top:0;bottom:0" onmouseover="window.location='http://' + '<a href="http://kde.org">kde.org</a>'"></div>» possible (replace <a href="http://kde.org">kde.org</a> with some random site). Btw, that makes it easy to crash the chat.</div><div><br>Aside from the fact that the abovementioned behaviour is bad by itself, that in-style-postprocessing behaviour is inconsistent between styles, which could be unexpected by users, and is inconsistent with built-in message filters.<br><br></div><div>IMO, all the innerHTML post-processing should be stripped of all bundled styles, and no such «features» should be bundled inside styles. Can anyone comment on this, please?</div><div><br></div><div>(And in the long-term, Adium themes support is evil. Along with html-based styles).</div></div>