WYSIWYG エディターが不足しているわけではありませんが、クライアント側の検証をバイパスし、スクリプトとオブジェクト タグを含めることから保護の外観を維持する簡単な方法はないようです。
私の最初の考えは、マークダウンを出力し、マークダウン形式のテキストをデータベースに保存し、表示時に解析する WYSIWYG エディターを見つけることでした。これにより、潜在的に危険なコードをデータベースに保存することを防ぐことができますが、HTML の場合に必要となるように、エディターが出力する可能性のあるすべてのタグをホワイトリストに登録する必要もありません。
ここで本当に簡単な道がありませんか?他の人は、使用可能なエディターを持ちながら、攻撃に対して無防備にならないように、どのようにバランスを取っていますか?