防止跨站点脚本 Django Rest 框架

问：

我正在使用 DRF 为论坛网站创建 API，并希望保护它免受 XSS 的侵害。例如，如果有人发送一个请求，其中包含一个文本包含在 html 标签（按钮、表单、脚本等）中，它就会保存在数据库中。我不想以某种方式保护它。我听说我可以通过serailizer方法做到这一点，或者我可以通过检查是否有任何禁止的标签来解决中间件级别的问题，如果有，请引发错误或只是从html中解析行文本并保存它。escape

此外，在某些 ednpoints 中，我确实需要将数据（包括 html）保存在 中，因为我希望允许我的前端客户端使用 HTML（基本标记）格式化文本，但在这种情况下，特殊中间件的想法似乎不合适，因为它不允许使用 HTML 文本发送请求。或者我应该创建一个中间件来检查是否存在例如表单或按钮标签，并以这种方式引发错误（如果它类似于 HTML 列表、标题、span 标签不会引发错误）。TextField

哪种解决方案效果更好？还是有其他方法？也许由前端开发人员来使用它？ 先谢谢你。