我需要让用户在我的web应用程序中输入降价内容，它有一个Python后端。我不想不必要地限制它们的条目（例如，不允许任何HTML，这违背了标记的精神和规范），但显然我需要防止跨站点脚本（XSS）攻击。

我不可能是第一个遇到这个问题的人，但是我没有看到所有关键字“python”、“Markdown”和“XSS”都有这样的问题，所以这里继续。

使用Python库处理标记和防止XSS攻击的最佳实践方法是什么？（支持PHP Markdown Extra语法的优点。）