XSS и санитизация HTML: что допускать из WYSIWYG на сервере
Политика allowlist тегов, контекст DOM и почему одной «библиотеки на клиенте» недостаточно.
Любой пользовательский HTML должен прогоняться через проверенный санитайзер на сервере с белым списком тегов и атрибутов; исполнение скриптов из полей CMS — топ-причина stored XSS.
Контекст важен: безопасная строка в тексте может сломаться внутри атрибута или URL.
- XSS Prevention Cheat Sheet — OWASP — Правила экранирования и архитектуры.
- DOM based XSS — OWASP — Клиентские векторы.
Процесс
Добавьте security-тесты на сохранение поста с payload `<img src=x onerror=...>` в staging.
Сочетайте санитизацию с CSP — защита должна быть многослойной.