WYSIWYG-редактор полностью на стороне клиента (если он не упакован вместе с каким-либо серверным компонентом, который будет зависеть от платформы). Вы не можете защитить от пользовательских атак со стороны клиента; пользователи всегда могут пропустить редактор и опубликовать свой XSS прямо в HTTP-запросе.
Вы никогда не хотите выбрасывать информацию на этапах ввода или хранения. Все, что вы делаете для предотвращения XSS, должно происходить, когда вы выводите пользовательский ввод обратно на экран. Самый простой способ - просто закодировать все. Очевидно, что на таком сайте, как Stackoverflow, где некоторый пользовательский ввод должен быть в конечном итоге записан как разметка, его нужно сначала очистить.
Если мы узнаем больше о том, какую платформу вы используете, мы могли бы порекомендовать вам несколько проверенных, проверенных библиотек, которые делают то, что вам нужно.