Как реализовать возможность для пользователя отправить некоторые отформатированные данные HTML безопасным способом?

У меня есть a textarea и я хочу поддерживать некоторое самое простое форматирование для отправленных данных (по крайней мере, пробелы и разрывы строки).

Как я могу достигнуть этого? Если я не выйду из ответа и сохраню некоторые теги HTML затем, это будет большая дыра в системе безопасности. Но я не вижу никакого другого решения, которое позволит текстовое форматирование в браузере.

Так, я, вероятно, должен отфильтровать вход пользователя. Но как я могу сделать это? Действительно ли там кто-либо готов использовать решения? Я использую JSF так там какой-либо умный компонент, который фильтрует все кроме тегов HTML?