Sanitizer API (где доступен) даёт браузерную санитизацию HTML перед вставкой — потенциальная замена части вызовов DOMPurify для контента из редактора.
Пока нужен polyfill/feature-detect и fallback на проверенную библиотеку для старых браузеров.
- [Sanitizer API — W3C](https://w3c.github.io/sanitizer-api/) — Черновик спецификации.
- [OWASP XSS Prevention](https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html) — Правила экранирования.
---
## Процесс
Whitelist тегов согласуйте с редактором: какие embed (video, iframe) разрешены.
CSP script-src остаётся обязательным даже с санитайзером.