<!--
Payloads de XSS para testar a sanitização.
Cada bloco abaixo deve ser injetado num campo de conteúdo (ex.: description de
Content/Banner/Course/Collection) via override de resposta de API no DevTools.
-->
<!-- 1) Script direto -->
<p>Olá <script>alert('XSS-1: script tag')</script></p>
<!-- 2) Handler inline em img -->
<p>Imagem: <img src="x" onerror="alert('XSS-2: onerror')" /></p>
<!-- 3) Handler em link com javascript: -->
<p><a href="javascript:alert('XSS-3: js scheme')">clique aqui</a></p>
<!-- 4) iframe (deveria ser barrado por sanitizeHtml; permitido só em sanitizeHtmlWithEmbed) -->
<p>Vídeo: <iframe src="https://atacante.exemplo/phishing" width="60