[Symfony 3.3] Patcher attaque XSS

Bonjour,
Avec mon équipe, nous développons une application que nous vendons à nos clients.
Après un audit de sécurité, il nous reste une faille à combler, les attaques XSS.

L'application comprend des champs notes qui utilisent CKEditor dans le but de sauvegarder du HTML dans la BDD (car parfois envoyé par mail).

Après des tests, il s'avère en effet que si on ajoute un simple bout de code JS, il est éxécuté par le navigateur :

<script>alert('OK');</script>

Nous devons donc patcher notre application contre les failles XSS hors, le faire à la mano est quasiment mission impossible étant donné le nombre impressionnant de failles XSS existante (balise img.src, script, embed, flash, javascript, etc).

Nous avons essayé d'utiliser HTMLPurifier mais sans succès, il supprime les attributs que nous avons créé et dont nous avons besoin.

<span contenteditable="false" data-XX-mapping-name="XXXX">XXXX</span>

HTMLPurifier nous retourne <span>XXXX</span>. Hors nous avons besoin de garder les attributs contenteditable et data-XX-mapping-name.

Si vous avez plus d'info sur HTMLPurifier ou sur une façon de contourner cette faille, je suis preneur ;) Par besoin de htmlspecialchars, nous avons besoin que les balises <u>, <strong>... soient exécutées.

Développement sous Symfony 3.3, PHP 7.

Merci pour le coup de main :)