Lieber Michael_K,

sofern ein HTML-String/Code-Fragment aus dritter (unbekannter) Quelle softwaretechnisch übernommen wird,

bitte beschreibe das Szenario hinreichend genau, bei dem der String-Wert von Quelle Q zu Ziel Z „übernommen“ wird. Wenn Du das nicht präzisierst, ist der Rest der Debatte sinnlos.

ist stets sicherzustellen, dass die Daten vor Einbindung in die eigene Umgebung/Webseite "gesäubert" werden, um Schadcode fernzuhalten.

Was genau ist mit „Schadcode“ gemeint? Reden wir von manipulierten Daten, die das System des Seitenbesuchers durch dort ungepatchte Lücken angreifen? Oder reden wir von manipulierten Daten, die dafür sorgen, dass ein Besucher auf dem Webserver plötzlich Dinge tun kann, weil das verwendete CMS/Blog/whatever dadurch angegriffen wird?

Sanitizer können aber nicht davor schützen, dass Inline-Styles böswillig den Nutzer optisch täuschen oder etwas vorgaukeln.

Das ist in meinen Augen auch nicht die Aufgabe von Sanitizern, sondern sicherzustellen, dass die zu verarbeitenden Daten (Du nennst sie „HTML-String/Code-Fragment“) das System selbst nicht stören oder gar gefährden. Optische Effekte für Seitenbesucher und deren Wahrnehmung ist nicht das Problem, für das Sanitizer entwickelt werden.

Sollte man dann deshalb gleich die ganzen Inline-Style aus dem HTHML-Code aus dritter Quelle entfernen?

Hier ist wieder das oben von mir eingeforderte Szenario wichtig, um eine sinnvolle Debatte führen zu können.

Gibt es hierzu irgendwo Erläuterungen, die das Problem verständlich skizzieren?

Das Problem ist nicht klar, weil Du so allgemein formulierst, dass zumindest ich Dir so nicht helfen kann.

Liebe Grüße

Felix Riesterer