Estoy creando un correo web, que debe poder mostrar correos electrónicos html. Pero, ¿cómo evitar los ataques xss y similares, sin perder el formato html?
En gmail, cuando recibo algunos correos electrónicos de, digamos, twitter, están bien formateados. Estoy buscando algo como esto.
Html5 admite el atributo sandbox
para iframes, que parece resolver mi problema, pero está mal soportado. Necesito una solución que funcione en los navegadores MODERNOS, pero que no se vuelva insegura en los navegadores antiguos. Es aceptable que esto NO FUNCIONE en absoluto en los navegadores antiguos, pero no puede volverse inseguro. Debería funcionar en IE9 y superior.
¿Cuáles son mis opciones?