Задача стоит чтобы выводить строку, через ng-bind-html только теги br, img, a а все остальные эскейпить, например <script></script>.
И еще, если выводить img onload=somefunc() можно сделать xss атаку таким способом ? Вообще нужно выводить img тег только для emoji
Нашел решение но только тег br https://toster.ru/q/177959/
