Любой пользовательский HTML должен прогоняться через проверенный санитайзер на сервере с белым списком тегов и атрибутов; исполнение скриптов из полей CMS — топ-причина stored XSS.
Контекст важен: безопасная строка в тексте может сломаться внутри атрибута или URL.
- [XSS Prevention Cheat Sheet — OWASP](https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html) — Правила экранирования и архитектуры.
- [DOM based XSS — OWASP](https://owasp.org/www-community/attacks/DOM_Based_XSS) — Клиентские векторы.
---
## Процесс
Добавьте security-тесты на сохранение поста с payload <img src=x onerror=...> в staging.
Сочетайте санитизацию с CSP — защита должна быть многослойной.