ユーザー入力を < → <、" → " などに HTML エスケープすれば、PDF レンダラ (Chromium) 経由の Stored XSS と SSRF の両方をアプリ層で塞げる。<script>/<svg onload>/<img onerror> はタグ自体が無効化されて文字列として表示されるだけになり、<img src>/<link href>/<iframe>/CSS @import などの外部リソース取得タグも成立しなくなるので SSRF (メタデータ・内部 API 取得) も成立しない。属性補間 (<img src="...">) も " エスケープで属性ブレイクを防げる。ただし外部 SaaS レンダラの sandbox 設定はベンダー依存な点は残る。