XSS и санитизация HTML: что допускать из WYSIWYG на сервере

Любой пользовательский HTML должен прогоняться через проверенный санитайзер на сервере с белым списком тегов и атрибутов; исполнение скриптов из полей CMS — топ-причина stored XSS.

Контекст важен: безопасная строка в тексте может сломаться внутри атрибута или URL.

- [XSS Prevention Cheat Sheet — OWASP](https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html) — Правила экранирования и архитектуры.

- [DOM based XSS — OWASP](https://owasp.org/www-community/attacks/DOM_Based_XSS) — Клиентские векторы.

---

## Процесс

Добавьте security-тесты на сохранение поста с payload <img src=x onerror=...> в staging.

Сочетайте санитизацию с CSP — защита должна быть многослойной.