Las capacidades dependen de cómo se muestra el html. No creo que los ataques de las principales fuentes de alimentación sean una gran preocupación, pero podrían ser anuncios en línea que podrían ser malos. El vector más grande sería incrustar fuentes de sitio más pequeñas sin los controles que tienen los grandes jugadores; He visto un montón de RSS "hechos a mano", y me estremezco por lo que podría pasar por un conducto de ingenuos.
En términos de mostrarlo, puede desinfectarlo del lado del cliente con una lib, algunas RegExps o con controles de usuario-agente, dependiendo del agente. En un navegador, simplemente puede usar un CSP (política de seguridad de contenido) para protegerse contra la inclusión de scripts, incluidos los eventos molestos basados en atributos.
Es posible que los navegadores integrados no sean compatibles con las opciones de CSP, por lo que si ese es el caso, desinfecte muy bien. Por lo general, puede utilizar el DOM de un navegador integrado para convertir el marcado en texto de forma segura (establecer innerHTML, read innerText), que elimina todas las funciones HTML como enlaces e imágenes, pero garantiza la seguridad.