Recientemente encontré Caja, que parece ser una forma efectiva de prevenir XSS. Desde su sitio :
El Compilador de Caja es una herramienta para hacer HTML, CSS y JavaScript seguro para incrustar en su sitio web. Permite una rica interacción entre la página de incrustación y las aplicaciones integradas. Caja usa un modelo de seguridad de capacidad del objeto para permitir una amplia gama de flexibilidad políticas de seguridad, para que su sitio web pueda controlar efectivamente lo que El código de terceros incorporado puede hacer con los datos del usuario.
Caja convierte un fragmento de contenido web: más o menos, un fragmento de HTML, CSS y JavaScript que verías dentro de la etiqueta del cuerpo de una página HTML - en un módulo de caja. Este módulo se representa como una única función de módulo de JavaScript que se puede ejecutar dentro de un contenedor de Caja.
¿Esto significa que usar Caja I podría dar a un usuario la capacidad de ingresar HTML / CSS sin tener que preocuparse por posibles ataques XSS?