Cześć, potrzebuje w treści wprowadzonej przez użytkownika wstawić emotikony

w skrócie zamienić

[HTML] pobierz, plaintext 
Hello :) World
[HTML] pobierz, plaintext 

na

[HTML] pobierz, plaintext 
Hello <img src="/assets/smile.png"> World
[HTML] pobierz, plaintext 

Wykonuje to przy pomocy .replace() i .bypassSecurityTrustHtml(), problem pojawia się w sytuacji gdy użytkownik wyśle wiadomość o treści

[HTML] pobierz, plaintext 
Hello <a href="#">:)</a> World
[HTML] pobierz, plaintext 

co pozwala na atak XSS. Macie pomysł jak wybrnąć z tej sytuacji?
Angular 2+ dokładniej 5.2.0

Mógłbyś zaprezentować przykład takiego ataku na podstawie podmiany emotki na obrazek?

Aby wyświetlić emotikone, potrzebowałem zaznaczyć że przekazany tekst jest bezpieczny do renderowania.
W ten sposób osoba atakująca mogła wrzucić w treść wiadomości <iframe> czy inne tagi.

Zapomniałem, że mogę najpierw zrobić escape na otrzymanej wiadomości, później dokonać podmiany i na samym końcu oznaczyć jako "safe"