Если я хочу разрешить пользователю добавлять форматирование, но мне нужно предотвратить инъекции CSS и JavaScript.Любое решение, как это сделать?
TinyMCE имеет возможность ограничивать типы тегов, которые могут вводить пользователи - см. документацию для valid_elements и invalid_elements.
valid_elements
invalid_elements