Neu: HTML Sanitizer API, und die kommt mit Element.setHTML() für ein .innerHTML für untrusted Input.