Sanityzacja po stronie servera - Node.js z socket.io

Question

Witam, pisze chat al'a grę, mam problem odpowiednią sanityzacją.

 

Na ten moment to wygląda tak:

1. Server z wiadomości kasuje wszelkie tagi i inne niebezpieczne rzeczy (bez kodowania encji).

2. Jako iż jest to gra, wiadomość zostaje odpowiednio zmodyfikowana,

np. litera a zostaje zamieniona na b.

Gwiazdki * zostają zamienione na tagi [b] i druga na [/b].

3. skrypt po sanityzacji i obróbce zostaje wyslany do klienta i wykonany za pomocą innerHTML.

 

Problem leży w tym że do sanityzacji uzywam skryptu sanitize-html, ktory dosłownie kasuje podejrzane rzeczy, w tym wypadku nie mozna wyslac na chacie nawet serduszka "<3" bo zostaje zatomizowane :(

Zamiast kasować z sanitize-html, próbowalem kodować encje, ale punkt drugi modyfikujący znaki, wpływa także na encje modyfikując je.

Jak poprawnie sanityzować wiadomość nie naruszając jej, aby móc ją w podanym w 2 przykładzie sposób przerobić, nie powodując jej uszkodzenia ani dziur w bezpieczeństwie?