С тем же img пропущенным без обработки можно поступить например так:
<img src="no.png" onerror="alert('Оппа!')">
надо быть осторожным с такими вещами.)
Имхо, для юзеринпута логичнее использовать bb-коды.)
Но если хочется:
https://www.npmjs.com/package/sanitize-html