Teilnehmer der Seite sollten in die Lage versetzt werden, eigene Dokumente mit eigenen Bodys aber gemeinsamen Heads beizutragen, aber nicht ermächtigt, z. B. PHP-Code oder ggf. auch eigenen JavaScript-Code einzuspeisen.

Kein PHP ist einfach, das was da, wie auch immer hochgeladen wird, muss halt im entsprechenden Kontext behandelt werden. Bei Javascript wird es dann eher unmöglich: Blacklisten sind problematisch, weil sie bei ggf. sicherheitsrelevanten Dingen immer aktuell sein müssen (inkl. experimenteller Features der Browser); im Moment könnte man darauf hoffen, dass man allen Javascript-Code in Attributen erkennen kann, weil diese mit „on“ beginnen; aber das muss in der Zukunft nicht so bleiben und um Parserfehler zu umgehen, müsste man, bevor man die Blacklist ansetzt, erst mal selber das DOM parsen, dann dieses checken und ausliefern. Whitelists sollten sicher sein, aber wer will das schon ständig aktuell halten.

Die alten HTML-Font-Tags usw. müssen auch ausgeschlossen werden.

Alte, bekannte Dinge mit Blacklists ausschließen wäre dagegen einfacher.

Wie fängt man sowas an, ohne gleich ein (für die weiteren Ideen untaugliches) Framework/CMS zugrunde zu legen?

Ein CMS wählen, was erweiterbar ist und zu allen vorhandenen Ideen passt und später, wenn man feststellt, es passt nicht, muss halt umgestellt werden. Sichere Vorhersagen über die Zukunft sind halt nicht wirklich möglich.