Un éditeur WYSIWYG est tout côté client (à moins qu'il soit empaqueté avec un composant de serveur, qui serait spécifique à la plate-forme). Vous ne pouvez pas protéger contre les attaques des utilisateurs du côté client; les utilisateurs peuvent toujours ignorer l'éditeur et publier leur XSS directement dans la requête HTTP.
Vous ne voulez jamais jeter des informations lors des phases d'entrée ou de stockage. Tout ce que vous faites pour empêcher XSS devrait se produire lorsque vous écrivez l'entrée de l'utilisateur pour renvoyer à l'écran. Le moyen le plus simple est de simplement tout encoder. Évidemment, sur un site comme Stackoverflow, où certaines entrées de l'utilisateur doivent être écrites éventuellement en tant que balisage, il doit être nettoyé en premier.
Si nous en savons plus sur la plate-forme que vous utilisez, nous pourrions probablement vous recommander des bibliothèques éprouvées et éprouvées qui répondent à vos besoins.