Ein WYSIWYG-Editor ist alles clientseitig (es sei denn, es ist mit einigen Serverkomponenten gepackt, die plattformspezifisch sind). Sie können nicht vor Benutzerangriffen von der Client-Seite schützen; Benutzer können den Editor immer überspringen und ihr XSS direkt in der HTTP-Anfrage veröffentlichen.
Sie möchten niemals Informationen bei der Eingabe oder bei der Speicherung wegwerfen. Alles, was Sie tun, um XSS zu verhindern, sollte passieren, wenn Sie die Benutzereingabe wieder auf den Bildschirm zurückschreiben. Der einfachste Weg ist, einfach alles zu kodieren. Offensichtlich muss auf einer Site wie Stackoverflow, bei der einige Benutzereingaben eventuell als Markup geschrieben werden müssen, diese zuerst bereinigt werden.
Wenn wir mehr darüber wissen, welche Plattform Sie verwenden, können wir Ihnen wahrscheinlich einige gut getestete, bewährte Bibliotheken empfehlen, die das tun, was Sie brauchen.