Ale chodzi Ci o Twój HTML czy HTML, który user przesyła w jakiś sposób? Bo jeśli Twój, to nie powinieneś tego robić. Natomiast jeśli chodzi o HTML przesyłany przez usera, to zależy od tego, czym przerabiasz ten kod, np. w PHP są odpowiednie biblioteki, w JS jest DOMPurify.