DOMPurify: SAFE_FOR_TEMPLATES com RETURN_DOM/IN_PLACE falha em sanitizar expressões em <template>

DOMPurify com SAFE_FOR_TEMPLATES: true e RETURN_DOM: true (ou IN_PLACE: true) não sanitiza expressões de template dentro de elementos <template>. O NodeIterator usado em _scrubTemplateExpressions não desce em template.content, e node.normalize() também o ignora, permitindo que nós de texto divididos se fundam em expressões como ${...} após a normalização.

Aplicações que usam DOMPurify com SAFE_FOR_TEMPLATES: true combinado com RETURN_DOM: true, RETURN_DOM_FRAGMENT: true ou IN_PLACE: true, e que posteriormente normalizam o conteúdo do template ou o passam para um motor de template.

Evite usar RETURN_DOM ou IN_PLACE com SAFE_FOR_TEMPLATES até que um patch seja aplicado. Se precisar usá-los, itere manualmente sobre template.content e remova expressões de template após a normalização.