Sanitizer API: вставка HTML из CMS без DOMPurify в бандле
Element.setHTML и конфигурация разрешённых тегов для rich text.
Sanitizer API (где доступен) даёт браузерную санитизацию HTML перед вставкой — потенциальная замена части вызовов DOMPurify для контента из редактора.
Пока нужен polyfill/feature-detect и fallback на проверенную библиотеку для старых браузеров.
- Sanitizer API — W3C — Черновик спецификации.
- OWASP XSS Prevention — Правила экранирования.
Процесс
Whitelist тегов согласуйте с редактором: какие embed (video, iframe) разрешены.
CSP `script-src` остаётся обязательным даже с санитайзером.