La mia regola generale per lo sviluppo web è che il server codifica i tag HTML in qualsiasi input generato dall'utente quando viene inviato per impedire XSS.
Tuttavia, recentemente qualcuno ha suggerito che invece di disinfettare l'input sul server, angular poteva eseguire la sanificazione sul lato client durante la visualizzazione . Quindi in pratica puoi inserire i tag HTML e questi verranno inseriti nel database. Quando vengono restituiti al client, sono ancora incorporati ma l'angolare stesso ne rimuove quelli dannosi.
Non riesco a vedere immediatamente qualcosa di sbagliato in questo presupposto che la codifica angolare sia infallibile.
Qualcuno ha esperienza con questo in entrambi i modi? Qualcuno vede un problema con la soluzione front-end?