Je parle à chaque fois d'un sous-ensemble du HTML, justement (ce qui rend la chose triviale). D'ailleurs, tous les éditeurs HTML ou contenteditable n'utilisent qu'un tel sous-ensemble.
Au contraire, le HTML brut est très souvent accepté par les parseurs HTML, ce qui rend la sécurisation bien plus compliquée (vu qu'il faut savoir si les caractères spéciaux comme < ou " correspondent à du texte brut (et doivent être échappés) ou à des balises).