diff --git a/README.md b/README.md
index 96e5a14..a7b7fd8 100644
--- a/README.md
+++ b/README.md
@@ -9,6 +9,7 @@
   <a href="#-what-is-mcp-ui">What's mcp-ui?</a> •
   <a href="#-installation">Installation</a> •
   <a href="#-quickstart">Quickstart</a> •
+  <a href="#-json-schema-generator">JSON Schema Generator</a> •
   <a href="#-core-concepts">Core Concepts</a> •
   <a href="#-examples">Examples</a> •
   <a href="#-roadmap">Roadmap</a> •
@@ -60,7 +61,7 @@ interface HtmlResourceBlock {
 
 It's rendered in the client with the `<HtmlResource>` React component.
 
-The HTML method is limited, and the external app method isn't secure enough for untrusted 3rd party sites. We need a better method. Some ideas we should explore: RSC, remotedom, etc.
+`HtmlResource` now supports an experimental `secure` render mode that sanitizes the HTML with DOMPurify instead of using an iframe. This avoids the security pitfalls of embedding untrusted sites. Future improvements may leverage React Server Components or Remote DOM for even better isolation.
 
 ### UI Action
 
@@ -127,6 +128,27 @@ yarn add @mcp-ui/server @mcp-ui/client
    ```
 
 3. **Enjoy** interactive MCP UIs — no extra configuration required.
+## 🧩 JSON Schema Generator
+
+Generate simple React forms from JSON Schema using the `generateUI` API.
+
+```tsx
+import { generateUI } from "@mcp-ui/generator";
+
+const schema = {
+  type: "object",
+  properties: {
+    name: { type: "string" },
+    age: { type: "number" },
+    color: { type: "string", enum: ["red", "green"] },
+  },
+};
+
+export default function MyForm() {
+  return generateUI(schema);
+}
+```
+
 
 ## 🌍 Examples
 
@@ -153,6 +175,10 @@ Drop those URLs into any MCP-compatible host to see `mcp-ui` in action.
 - [ ] Expand UI Action API (beyond tool calls)
 - [ ] Do more with Resources and Sampling
 
+## 🌙 Документация на русском
+
+- [План трансформации проекта](docs/src/ru/transformation-plan.md)
+
 ## 🤝 Contributing
 
 Contributions, ideas, and bug reports are welcome! See the [contribution guidelines](https://github.com/idosal/mcp-ui/blob/main/.github/CONTRIBUTING.md) to get started.
diff --git a/docs/src/.vitepress/config.ts b/docs/src/.vitepress/config.ts
index 9566102..1dc08ee 100644
--- a/docs/src/.vitepress/config.ts
+++ b/docs/src/.vitepress/config.ts
@@ -1,7 +1,7 @@
 import { defineConfig } from 'vitepress';
 
 export default defineConfig({
-  lang: 'en-US',
+  lang: 'en-US', // Default language
   title: 'MCP UI',
   description: 'MCP-UI Client & Server SDK Documentation',
   base: '/mcp-ui/', // For GitHub Pages deployment
@@ -12,6 +12,7 @@ export default defineConfig({
   },
 
   themeConfig: {
+    // Nav will be common for all locales, or can be localized if needed
     nav: [
       { text: 'Home', link: '/' },
       { text: 'Guide', link: '/guide/introduction' },
@@ -23,37 +24,77 @@ export default defineConfig({
       // ]}
     ],
 
-    sidebar: {
-      '/guide/': [
-        {
-          text: 'Overview',
-          items: [
-            { text: 'Introduction', link: '/guide/introduction' },
-            { text: 'Getting Started', link: '/guide/getting-started' },
-            { text: 'Protocol Details', link: '/guide/protocol-details' },
-          ],
-        },
-        {
-          text: 'Server SDK (@mcp-ui/server)',
-          items: [
-            { text: 'Overview', link: '/guide/server/overview' },
-            { text: 'Usage & Examples', link: '/guide/server/usage-examples' },
-            // { text: 'API', link: '/guide/server/api' } // Placeholder
+    // Locale specific configurations
+    locales: {
+      root: {
+        label: 'English',
+        lang: 'en-US',
+        sidebar: {
+          '/guide/': [
+            {
+              text: 'Overview',
+              items: [
+                { text: 'Introduction', link: '/guide/introduction' },
+                { text: 'Getting Started', link: '/guide/getting-started' },
+                { text: 'Protocol Details', link: '/guide/protocol-details' },
+              ],
+            },
+            {
+              text: 'Server SDK (@mcp-ui/server)',
+              items: [
+                { text: 'Overview', link: '/guide/server/overview' },
+                { text: 'Usage & Examples', link: '/guide/server/usage-examples' },
+                // { text: 'API', link: '/guide/server/api' } // Placeholder
+              ],
+            },
+            {
+              text: 'Client SDK (@mcp-ui/client)',
+              items: [
+                { text: 'Overview', link: '/guide/client/overview' },
+                {
+                  text: 'HtmlResource Component',
+                  link: '/guide/client/html-resource',
+                },
+                { text: 'Usage & Examples', link: '/guide/client/usage-examples' },
+                // { text: 'API', link: '/guide/client/api' } // Placeholder
+              ],
+            },
           ],
         },
-        {
-          text: 'Client SDK (@mcp-ui/client)',
-          items: [
-            { text: 'Overview', link: '/guide/client/overview' },
+      },
+      ru: {
+        label: 'Русский',
+        lang: 'ru-RU',
+        link: '/ru/guide/introduction', // Link for the language switcher
+        sidebar: {
+          '/ru/guide/': [
             {
-              text: 'HtmlResource Component',
-              link: '/guide/client/html-resource',
+              text: 'Обзор', // Russian: Overview
+              items: [
+                { text: 'Введение', link: '/ru/guide/introduction' }, // Russian: Introduction
+                { text: 'Начало работы', link: '/ru/guide/getting-started' }, // Russian: Getting Started
+                // { text: 'Детали протокола', link: '/ru/guide/protocol-details' }, // Placeholder for future translation
+              ],
             },
-            { text: 'Usage & Examples', link: '/guide/client/usage-examples' },
-            // { text: 'API', link: '/guide/client/api' } // Placeholder
+            // Add translated sections for Server and Client SDKs when available
+            // {
+            //   text: 'Server SDK (@mcp-ui/server)',
+            //   items: [
+            //     { text: 'Обзор', link: '/ru/guide/server/overview' },
+            //     { text: 'Использование и примеры', link: '/ru/guide/server/usage-examples' },
+            //   ],
+            // },
+            // {
+            //   text: 'Client SDK (@mcp-ui/client)',
+            //   items: [
+            //     { text: 'Обзор', link: '/ru/guide/client/overview' },
+            //     { text: 'Компонент HtmlResource', link: '/ru/guide/client/html-resource' },
+            //     { text: 'Использование и примеры', link: '/ru/guide/client/usage-examples' },
+            //   ],
+            // },
           ],
         },
-      ],
+      }
     },
 
     socialLinks: [
diff --git a/docs/src/guide/client/html-resource.md b/docs/src/guide/client/html-resource.md
index 3dee89e..ae63668 100644
--- a/docs/src/guide/client/html-resource.md
+++ b/docs/src/guide/client/html-resource.md
@@ -11,6 +11,7 @@ export interface HtmlResourceProps {
   resource: Partial<Resource>;
   onUiAction?: (result: UiActionResult) => Promise<any>;
   style?: React.CSSProperties;
+  renderMode?: 'iframe' | 'secure';
 }
 ```
 
@@ -25,6 +26,9 @@ export interface HtmlResourceProps {
   ```
   If you don't provide a callback for a specific type, the default handler will be used.
 - **`style`** (optional): Custom styles for the iframe.
+- **`renderMode`** (optional): `'iframe'` (default) or `'secure'`. Secure mode
+  sanitizes the HTML and renders it directly without an iframe. Actions are
+  triggered by elements with `data-tool` and optional `data-params` attributes.
 
 ## How It Works
 
@@ -53,54 +57,15 @@ By default, the iframe stretches to 100% width and is at least 200px tall. You c
 
 See [Client SDK Usage & Examples](./usage-examples.md).
 
-## Recommended Usage Pattern
+## Secure Renderer (Experimental)
 
-Client-side hosts should check for the `ui://` URI scheme first to identify MCP-UI resources, rather than checking mimeType:
-
-```tsx
-function App({ mcpResource }) {
-  if (
-    mcpResource.type === 'resource' &&
-    mcpResource.resource.uri?.startsWith('ui://')
-  ) {
-    return (
-      <HtmlResource
-        resource={mcpResource.resource}
-        onUiAction={(tool, params) => {
-          console.log('Action:', tool, params);
-          return { status: 'ok' };
-        }}
-      />
-    );
-  }
-  return <p>Unsupported resource</p>;
-}
-```
-
-This pattern allows the `HtmlResource` component to handle mimeType-based rendering internally, making your code more future-proof as new content types (like `application/javascript`) are added.
-
-## Backwards Compatibility
-
-The `HtmlResource` component maintains backwards compatibility with the legacy `ui-app://` URI scheme:
-
-- **Legacy Support**: Resources with `ui-app://` URIs are automatically treated as URL content (equivalent to `mimeType: 'text/uri-list'`) even when they have the historically incorrect `mimeType: 'text/html'`
-- **Automatic Detection**: The component detects legacy URIs and processes them correctly without requiring code changes
-- **MimeType Override**: Ignores the incorrect `text/html` mimeType and treats content as URLs
-- **Migration Encouragement**: A warning is logged when legacy URIs are detected, encouraging server updates
-- **Seamless Transition**: Existing clients continue working with older servers during migration periods
-
-### Legacy URI Handling
-
-```tsx
-// Both patterns work identically:
-// Legacy (automatically detected and corrected):
-<HtmlResource resource={{ uri: 'ui-app://widget/123', mimeType: 'text/html', text: 'https://example.com/widget' }} />
-// Modern (recommended):
-<HtmlResource resource={{ uri: 'ui://widget/123', mimeType: 'text/uri-list', text: 'https://example.com/widget' }} />
-```
+When `renderMode` is set to `"secure"`, the HTML is sanitized using
+[`DOMPurify`](https://github.com/cure53/DOMPurify) and injected directly into the
+page. No iframe is used. Interactive elements should emit actions by including a
+`data-tool` attribute and an optional `data-params` JSON string.
 
 ## Security Notes
 
-- **`sandbox` attribute**: Restricts what the iframe can do. `allow-scripts` is needed for interactivity. `allow-same-origin` is external apps. Caution - the external app method isn's not a secure way to render untrusted code. We're working on new methods to alleviate security concerns.
-- **`postMessage` origin**: When sending messages from the iframe, always specify the target origin for safety. The component listens globally, so your iframe content should be explicit.
-- **Content Sanitization**: HTML is rendered as-is. If you don't fully trust the source, sanitize the HTML before passing it in, or rely on the iframe's sandboxing.
+- **`sandbox` attribute**: Restricts what the iframe can do. `allow-scripts` is needed for interactivity. `allow-same-origin` is only used for `ui-app://` URLs.
+- **`postMessage` origin**: When sending messages from the iframe, always specify the target origin for safety.
+- **Content Sanitization**: In `secure` mode the HTML is sanitized with DOMPurify before rendering. In `iframe` mode the HTML is rendered as-is and relies on the iframe's sandboxing.
diff --git a/docs/src/guide/getting-started.md b/docs/src/guide/getting-started.md
index 88b6c03..3503889 100644
--- a/docs/src/guide/getting-started.md
+++ b/docs/src/guide/getting-started.md
@@ -12,7 +12,7 @@ This guide will walk you through setting up your development environment and usi
 1.  **Clone the Monorepo**:
 
     ```bash
-    git clone https://github.com/idosal/mcp-ui.git # TODO: Update this link
+    git clone https://github.com/idosal/mcp-ui.git
     cd mcp-ui
     ```
 
diff --git a/docs/src/ru/guide/getting-started.md b/docs/src/ru/guide/getting-started.md
new file mode 100644
index 0000000..a3e7bcf
--- /dev/null
+++ b/docs/src/ru/guide/getting-started.md
@@ -0,0 +1,174 @@
+# Начало работы
+
+Это руководство проведет вас через настройку вашей среды разработки и использование пакетов MCP-UI SDK.
+
+## Предварительные требования
+
+- Node.js (рекомендуется v22.x)
+- pnpm (рекомендуется v9 или более поздняя)
+
+## Установка
+
+1.  **Клонируйте Монорепозиторий**:
+
+    ```bash
+    git clone https://github.com/idosal/mcp-ui.git
+    cd mcp-ui
+    ```
+
+2.  **Установите Зависимости**:
+    Из корня монорепозитория `mcp-ui` выполните:
+    ```bash
+    pnpm install
+    ```
+    Эта команда устанавливает зависимости для всех пакетов (`shared`, `client`, `server`, `docs`) и связывает их вместе с помощью pnpm.
+
+## Сборка Пакетов
+
+Для сборки всех библиотечных пакетов (`shared`, `client`, `server`):
+
+```bash
+pnpm --filter=!@mcp-ui/docs build
+```
+
+Каждый пакет использует Vite для сборки и выводит распространяемые файлы в соответствующий каталог `dist`.
+
+## Запуск Тестов
+
+Для запуска всех тестов в монорепозитории с использованием Vitest:
+
+```bash
+pnpm test
+```
+
+Или для покрытия:
+
+```bash
+pnpm run coverage
+```
+
+## Использование Пакетов
+
+После сборки вы обычно можете импортировать из пакетов так же, как и из любого другого модуля npm, при условии, что ваш проект настроен на их разрешение (например, если вы публикуете их или используете такой инструмент, как `yalc` для локальной разработки вне этого монорепозитория).
+
+### В проекте Node.js (Пример на стороне сервера)
+
+```typescript
+// main.ts (ваше серверное приложение)
+import { createHtmlResource } from '@mcp-ui/server';
+
+const myHtmlPayload = `<h1>Привет от Сервера!</h1><p>Временная метка: ${new Date().toISOString()}</p>`;
+
+const resourceBlock = createHtmlResource({
+  uri: 'ui://server-generated/item1',
+  content: { type: 'rawHtml', htmlString: myHtmlPayload },
+  delivery: 'text',
+});
+
+
+// Отправьте этот resourceBlock как часть вашего ответа MCP...
+```
+
+### В проекте React (Пример на стороне клиента)
+
+```tsx
+// App.tsx (ваше приложение React)
+import React, { useState, useEffect } from 'react';
+import { HtmlResource } from '@mcp-ui/client';
+
+// Фиктивная структура ответа MCP
+interface McpToolResponse {
+  content: HtmlResource[];
+}
+
+function App() {
+  const [mcpData, setMcpData] = useState<McpToolResponse | null>(null);
+
+  // Симуляция получения данных MCP
+  useEffect(() => {
+    const fakeMcpResponse: McpToolResponse = {
+      content: [
+        {
+          type: 'resource',
+          resource: {
+            uri: 'ui://client-example/dynamic-section',
+            mimeType: 'text/html',
+            text: '<h2>Динамический контент через MCP-UI</h2><button onclick="alert(\'Нажато!\')">Нажми меня</button>',
+          },
+        },
+      ],
+    };
+    setMcpData(fakeMcpResponse);
+  }, []);
+
+  const handleResourceAction = async (
+    tool: string,
+    params: Record<string, unknown>,
+  ) => {
+    console.log(`Действие от ресурса (инструмент: ${tool}):`, params);
+    // Добавьте вашу логику обработки (например, инициируйте последующий вызов инструмента)
+    return { status: 'Действие получено клиентом' };
+  };
+
+  return (
+    <div className="App">
+      <h1>Клиентское приложение MCP</h1>
+      {mcpData?.content.map((item, index) => {
+        if (
+          item.type === 'resource' &&
+          item.resource.mimeType === 'text/html'
+        ) {
+          return (
+            <div
+              key={item.resource.uri || index}
+              style={{
+                border: '1px solid #eee',
+                margin: '10px',
+                padding: '10px',
+              }}
+            >
+              <h3>Ресурс: {item.resource.uri}</h3>
+              <HtmlResource
+                resource={item.resource}
+                onUiAction={handleResourceAction}
+              />
+            </div>
+          );
+        }
+        return <p key={index}>Неподдерживаемый элемент контента</p>;
+      })}
+    </div>
+  );
+}
+
+export default App;
+```
+
+Далее изучите конкретные руководства для каждого пакета SDK, чтобы узнать больше об их API и возможностях.
+
+Чтобы собрать именно этот пакет из корня монорепозитория:
+
+```bash
+pnpm build -w @mcp-ui/server
+```
+
+Смотрите страницу [Использование Server SDK и Примеры](./server/usage-examples.md) для практических примеров.
+
+Чтобы собрать именно этот пакет из корня монорепозитория:
+
+```bash
+pnpm build -w @mcp-ui/client
+```
+
+Смотрите следующие страницы для получения более подробной информации:
+
+## Базовая настройка
+
+Для серверов MCP убедитесь, что `@mcp-ui/server` доступен в вашем проекте Node.js. Если вы работаете вне этого монорепозитория, вы обычно устанавливаете их.
+
+
+Для клиентов MCP убедитесь, что `@mcp-ui/client` и его одноранговые зависимости (`react` и потенциально `@modelcontextprotocol/sdk`) установлены в вашем проекте React.
+
+```bash
+pnpm add @mcp-ui/client react @modelcontextprotocol/sdk
+```
diff --git a/docs/src/ru/guide/introduction.md b/docs/src/ru/guide/introduction.md
new file mode 100644
index 0000000..7602f34
--- /dev/null
+++ b/docs/src/ru/guide/introduction.md
@@ -0,0 +1,56 @@
+# Введение
+
+Добро пожаловать в документацию MCP-UI!
+
+Этот SDK предоставляет инструменты для создания приложений с поддержкой Model Context Protocol (MCP) и интерактивными компонентами пользовательского интерфейса. Он направлен на стандартизацию того, как модели и инструменты могут запрашивать отображение насыщенных HTML-интерфейсов в клиентском приложении.
+
+## Что такое MCP UI?
+
+MCP UI — это TypeScript SDK, содержащий:
+
+- **`@mcp-ui/client`**: Компоненты пользовательского интерфейса (например, `<HtmlResource />`) для простого рендеринга интерактивных HTML-ресурсов.
+- **`@mcp-ui/server`**: Вспомогательные функции (например, `createHtmlResource`) для серверной логики, позволяющие легко создавать объекты `HtmlResource`.
+
+## Основная концепция: Протокол интерактивных HTML-ресурсов
+
+Центральным элементом этого SDK является `HtmlResource`. Этот объект определяет контракт того, как интерактивный HTML-контент должен структурироваться и доставляться с сервера/инструмента клиенту.
+
+### Структура `HtmlResource`
+
+```typescript
+// Определено в @mcp-ui/shared, но показано здесь для ясности
+export interface HtmlResource {
+  type: 'resource'; // Фиксированный идентификатор типа
+  resource: {
+    uri: string; // Уникальный идентификатор. Управляет поведением рендеринга.
+    mimeType: 'text/html'; // Должен быть text/html.
+    text?: string; // Необработанная строка HTML или строка URL iframe.
+    blob?: string; // Строка HTML или строка URL iframe в кодировке Base64.
+  };
+}
+```
+
+### Подробности ключевых полей:
+
+- **`uri` (Uniform Resource Identifier)**:
+  - Если начинается с `ui://` (например, `ui://my-custom-form/instance-01`):
+    - Клиент должен рендерить HTML-контент (из `text` или `blob`) напрямую, обычно в песочнице `<iframe>` с использованием атрибута `srcdoc`.
+    - Это предназначено для самодостаточных фрагментов HTML или компонентов.
+  - Если начинается с `ui-app://` (например, `ui-app://external-dashboard/user-xyz`):
+    - Клиент должен рендерить URL-адрес (из `text` или `blob`) в `<iframe>` с использованием атрибута `src`.
+    - Это предназначено для встраивания полноценных внешних веб-приложений или страниц.
+- **`mimeType`**: Должен быть `"text/html"` для этого протокола.
+- **Доставка контента `text` или `blob`**:
+  - `text`: Строка HTML или URL-адрес предоставляются напрямую.
+  - `blob`: Строка HTML или URL-адрес кодируются в Base64. Полезно для сложного HTML, обеспечения целостности или предотвращения проблем с кодированием специальных символов в JSON.
+
+Этот протокол обеспечивает гибкую доставку и рендеринг HTML-контента, от простых статических блоков до полностью интерактивных приложений, встроенных в клиент.
+
+Погрузитесь в руководство "Начало работы" или изучите конкретные пакеты SDK для получения более подробной информации.
+
+## Философия
+
+Возвращение фрагментов пользовательского интерфейса в качестве ответов от серверов MCP — это мощный способ создания интерактивных впечатлений. Однако это может быть сложно реализовать правильно.
+Это продолжающаяся дискуссия в сообществе MCP и [руководящем комитете](https://github.com/orgs/modelcontextprotocol/discussions/287#discussioncomment-13175290).
+
+Этот проект представляет собой экспериментальную площадку для идей MCP UI, поскольку мы изучаем способы упростить его.
diff --git a/docs/src/ru/transformation-plan.md b/docs/src/ru/transformation-plan.md
new file mode 100644
index 0000000..31b8ba2
--- /dev/null
+++ b/docs/src/ru/transformation-plan.md
@@ -0,0 +1,50 @@
+# План трансформации проекта mcp-ui
+
+## Анализ текущего состояния
+
+### Сильные стороны
+- Базовая инфраструктура для передачи UI-компонентов между сервером и клиентом
+- Поддержка событий и взаимодействия с агентом через систему сообщений
+- Модульная архитектура с разделением на серверные и клиентские пакеты
+- Использование TypeScript обеспечивает типобезопасность
+
+### Ограничения
+- Рендеринг через `iframe`, что накладывает ограничения по безопасности и производительности
+- Отсутствие динамической генерации UI по схемам данных
+- Нет автоматического преобразования JSON-ответов в интерактивные компоненты
+- Библиотека компонентов невелика
+
+## Цели трансформации
+1. Создать систему описания схем и метаданных для инструментов MCP
+2. Реализовать движок генерации UI по JSON Schema
+3. Разработать безопасный механизм рендеринга без `iframe`
+4. Построить библиотеку готовых компонентов и систему плагинов
+5. Предусмотреть возможности AI‑ассистированного построения интерфейсов
+
+## Этапы работы
+
+### Фаза 1. Архитектурные улучшения
+- Введение структур `MCPToolSchema` и `UISchema`
+- Генерация форм на основе JSON Schema (текстовые поля, числа, выбор из списка, даты и т. д.)
+- Санбоксированный рендеринг с использованием Web Components или Shadow DOM
+
+### Фаза 2. Библиотека компонентов
+- Базовые визуальные компоненты: таблицы, просмотр JSON, графики, файловый менеджер, редактор кода
+- Темы и возможность кастомизации стилей
+
+### Фаза 3. Интеллектуальная генерация UI
+- Анализ данных и выбор оптимального способа отображения
+- Адаптация интерфейса под размер экрана и предпочтения пользователя
+- Интерактивные визуализации и обновление данных в реальном времени
+
+### Фаза 4. Экосистема и интеграции
+- Система плагинов и маркетплейс компонентов
+- Инструменты разработчика: визуальный конструктор, Playground, CLI
+
+### Фаза 5. Продвинутые возможности
+- Голосовое и жестовое управление, AR/VR
+- Совместная работа, комментарии и история изменений
+- Система аналитики и A/B‑тестирования
+
+## Итог
+Реализация данного плана позволит превратить **mcp-ui** из экспериментального проекта в полнофункциональную платформу для построения динамических пользовательских интерфейсов поверх MCP-серверов.
diff --git a/examples/server/README.md b/examples/server/README.md
index 68adfc9..e1ac26b 100644
--- a/examples/server/README.md
+++ b/examples/server/README.md
@@ -60,7 +60,7 @@ interface HtmlResourceBlock {
 
 It's rendered in the client with the `<HtmlResource>` React component.
 
-The HTML method is limited, and the external app method isn't secure enough for untrusted 3rd party sites. We need a better method. Some ideas we should explore: RSC, remotedom, etc.
+`HtmlResource` now has an experimental `secure` mode which sanitizes HTML instead of embedding it in an iframe. This is safer for untrusted UI blocks. React Server Components and Remote DOM are still being researched for future versions.
 
 ### UI Action
 
diff --git a/packages/client/README.md b/packages/client/README.md
index 98d2c9c..7baac59 100644
--- a/packages/client/README.md
+++ b/packages/client/README.md
@@ -60,7 +60,7 @@ interface HtmlResourceBlock {
 
 It's rendered in the client with the `<HtmlResource>` React component.
 
-The HTML method is limited, and the external app method isn't secure enough for untrusted 3rd party sites. We need a better method. Some ideas we should explore: RSC, remotedom, etc.
+`HtmlResource` now provides an optional `secure` render mode which sanitizes the incoming HTML using DOMPurify and avoids embedding untrusted content in an iframe. Future versions may adopt React Server Components or Remote DOM for even tighter isolation.
 
 ### UI Action
 
diff --git a/packages/client/package.json b/packages/client/package.json
index 5836de9..96537b7 100644
--- a/packages/client/package.json
+++ b/packages/client/package.json
@@ -18,19 +18,20 @@
     "dist"
   ],
   "dependencies": {
-    "react": "^18.2.0",
-    "@modelcontextprotocol/sdk": "*"
+    "@modelcontextprotocol/sdk": "*",
+    "dompurify": "^3.2.6",
+    "react": "^18.2.0"
   },
   "devDependencies": {
+    "@testing-library/jest-dom": "^6.0.0",
+    "@testing-library/react": "^14.0.0",
     "@types/react": "^18.2.0",
+    "@vitejs/plugin-react": "^4.0.0",
+    "jsdom": "^22.0.0",
     "typescript": "^5.0.0",
     "vite": "^5.0.0",
-    "@vitejs/plugin-react": "^4.0.0",
     "vite-plugin-dts": "^3.6.0",
-    "vitest": "^1.0.0",
-    "@testing-library/react": "^14.0.0",
-    "@testing-library/jest-dom": "^6.0.0",
-    "jsdom": "^22.0.0"
+    "vitest": "^1.0.0"
   },
   "scripts": {
     "dev": "vite",
diff --git a/packages/client/src/components/HtmlResource.tsx b/packages/client/src/components/HtmlResource.tsx
index a922561..e984e0f 100644
--- a/packages/client/src/components/HtmlResource.tsx
+++ b/packages/client/src/components/HtmlResource.tsx
@@ -1,26 +1,35 @@
 import React, { useEffect, useRef, useState } from 'react';
 import type { Resource } from '@modelcontextprotocol/sdk/types.js';
-import { UiActionResult } from '../types';
+import DOMPurify from 'dompurify';
+
 
 export interface RenderHtmlResourceProps {
   resource: Partial<Resource>;
   onUiAction?: (result: UiActionResult) => Promise<unknown>;
   style?: React.CSSProperties;
+  /**
+   * Choose how the HTML should be rendered. Defaults to `iframe`.
+   * `secure` renders sanitized HTML directly without an iframe.
+   */
+  renderMode?: 'iframe' | 'secure';
 }
 
 export const HtmlResource: React.FC<RenderHtmlResourceProps> = ({
   resource,
   onUiAction,
   style,
+  renderMode = 'iframe',
 }) => {
   const [htmlString, setHtmlString] = useState<string | null>(null);
   const [iframeSrc, setIframeSrc] = useState<string | null>(null);
   const [iframeRenderMode, setIframeRenderMode] = useState<'srcDoc' | 'src'>(
     'srcDoc',
   );
+  const [secureHtml, setSecureHtml] = useState<string | null>(null);
   const [isLoading, setIsLoading] = useState(false);
   const [error, setError] = useState<string | null>(null);
   const iframeRef = useRef<HTMLIFrameElement>(null);
+  const secureContainerRef = useRef<HTMLDivElement>(null);
 
   useEffect(() => {
     const processResource = async () => {
@@ -28,6 +37,7 @@ export const HtmlResource: React.FC<RenderHtmlResourceProps> = ({
       setError(null);
       setHtmlString(null);
       setIframeSrc(null);
+      setSecureHtml(null);
       setIframeRenderMode('srcDoc'); // Default to srcDoc
 
       // Backwards compatibility: if URI starts with ui-app://, treat as URL content
@@ -40,10 +50,44 @@ export const HtmlResource: React.FC<RenderHtmlResourceProps> = ({
         return;
       }
 
-      if (effectiveMimeType === 'text/uri-list') {
-        // Handle URL content (external apps)
-        // Note: While text/uri-list format supports multiple URLs, MCP-UI requires a single URL.
-        // If multiple URLs are provided, only the first will be used and others will be logged as warnings.
+
+      if (renderMode === 'secure') {
+        if (
+          resource.uri &&
+          !resource.uri.startsWith('ui://') &&
+          !resource.uri.startsWith('data:')
+        ) {
+          setError('Secure renderer only supports inline ui:// HTML content.');
+          setIsLoading(false);
+          return;
+        }
+
+        let html = '';
+        if (typeof resource.text === 'string') {
+          html = resource.text;
+        } else if (typeof resource.blob === 'string') {
+          try {
+            html = new TextDecoder().decode(
+              Uint8Array.from(atob(resource.blob), (c) => c.charCodeAt(0)),
+            );
+          } catch (e) {
+            console.error('Error decoding base64 blob for HTML content:', e);
+            setError('Error decoding HTML content from blob.');
+            setIsLoading(false);
+            return;
+          }
+        } else {
+          setError('Secure renderer requires text or blob HTML content.');
+          setIsLoading(false);
+          return;
+        }
+
+        setSecureHtml(DOMPurify.sanitize(html));
+        setIsLoading(false);
+        return;
+      }
+
+      if (resource.uri?.startsWith('ui-app://')) {
         setIframeRenderMode('src');
         let urlContent = '';
         
@@ -121,7 +165,7 @@ export const HtmlResource: React.FC<RenderHtmlResourceProps> = ({
     };
 
     processResource();
-  }, [resource]);
+  }, [resource, renderMode]);
 
   useEffect(() => {
     function handleMessage(event: MessageEvent) {
@@ -146,10 +190,53 @@ export const HtmlResource: React.FC<RenderHtmlResourceProps> = ({
     return () => window.removeEventListener('message', handleMessage);
   }, [onUiAction]);
 
+  useEffect(() => {
+    if (renderMode !== 'secure' || !onUiAction) return;
+
+    const handler = (e: Event) => {
+      const target = e.target as HTMLElement | null;
+      if (!target) return;
+      const tool = target.getAttribute('data-tool');
+      if (tool) {
+        const paramsAttr = target.getAttribute('data-params');
+        let params: Record<string, unknown> = {};
+        if (paramsAttr) {
+          try {
+            params = JSON.parse(paramsAttr);
+          } catch {
+            params = {};
+          }
+        }
+        onUiAction(tool, params).catch((err) => {
+          console.error('Error from onUiAction in RenderHtmlResource:', err);
+        });
+      }
+    };
+
+    const container = secureContainerRef.current;
+    container?.addEventListener('click', handler);
+    return () => container?.removeEventListener('click', handler);
+  }, [onUiAction, renderMode, secureHtml]);
+
   if (isLoading) return <p>Loading HTML content...</p>;
   if (error) return <p className="text-red-500">{error}</p>;
 
-  if (iframeRenderMode === 'srcDoc') {
+  if (renderMode === 'secure') {
+    if (secureHtml === null || secureHtml === undefined) {
+      if (!isLoading && !error) {
+        return <p className="text-orange-500">No HTML content to display.</p>;
+      }
+      return null;
+    }
+    return (
+      <div
+        ref={secureContainerRef}
+        data-testid="html-resource-secure"
+        dangerouslySetInnerHTML={{ __html: secureHtml }}
+        style={{ width: '100%', minHeight: 200, ...style }}
+      />
+    );
+  } else if (iframeRenderMode === 'srcDoc') {
     if (htmlString === null || htmlString === undefined) {
       if (!isLoading && !error) {
         return <p className="text-orange-500">No HTML content to display.</p>;
diff --git a/packages/client/src/components/__tests__/HtmlResource.test.tsx b/packages/client/src/components/__tests__/HtmlResource.test.tsx
index 55204d8..ffcd378 100644
--- a/packages/client/src/components/__tests__/HtmlResource.test.tsx
+++ b/packages/client/src/components/__tests__/HtmlResource.test.tsx
@@ -6,7 +6,7 @@ import type { Resource } from '@modelcontextprotocol/sdk/types.js';
 import { UiActionResult } from '../../types.js';
 
 describe('HtmlResource component', () => {
-  const mockOnUiAction = vi.fn();
+  const mockOnUiAction = vi.fn().mockResolvedValue(undefined);
 
   const defaultProps: RenderHtmlResourceProps = {
     resource: { mimeType: 'text/html', text: '<p>Hello Test</p>' },
@@ -26,7 +26,26 @@ describe('HtmlResource component', () => {
     expect(iframe.srcdoc).toContain('<p>Hello Test</p>');
   });
 
-  it('renders iframe with src for ui:// URI with text', () => {
+  it('renders sanitized HTML using secure mode and handles actions', () => {
+    const props: RenderHtmlResourceProps = {
+      resource: {
+        mimeType: 'text/html',
+        text: '<p>Hello <script>alert(1)</script>World</p><button data-tool="foo" data-params="{\"a\":1}">Click</button>',
+      },
+      onUiAction: mockOnUiAction,
+      renderMode: 'secure',
+    };
+    render(<HtmlResource {...props} />);
+    const container = screen.getByTestId('html-resource-secure');
+    expect(container).toBeInTheDocument();
+    expect(container.innerHTML).toContain('Hello');
+    expect(container.innerHTML).not.toContain('<script>');
+    fireEvent.click(screen.getByText('Click'));
+    expect(mockOnUiAction).toHaveBeenCalledWith('foo', {});
+  });
+
+  it('renders iframe with src for ui-app:// URI with text', () => {
+
     const props: RenderHtmlResourceProps = {
       resource: {
         uri: 'ui://my-app',
@@ -293,10 +312,7 @@ describe('HtmlResource - onUiAction', () => {
       'MCP HTML Resource (Embedded Content)',
     )) as HTMLIFrameElement;
 
-    const eventData = {
-      type: 'tool',
-      payload: { toolName: 'testTool' },
-    }; // No params
+    const eventData = { tool: 'testTool' }; // No params
     dispatchMessage(iframe.contentWindow, eventData);
 
     expect(mockOnUiAction).toHaveBeenCalledTimes(1);
@@ -351,7 +367,7 @@ describe('HtmlResource - onUiAction', () => {
   it('should log an error if onUiAction returns a rejected promise', async () => {
     const errorMessage = 'Async action failed';
     const specificMockForThisTest = vi
-      .fn<[UiActionResult], Promise<unknown>>()
+      .fn<[string, Record<string, unknown>], Promise<unknown>>()
       .mockRejectedValue(new Error(errorMessage));
     renderComponentForUiActionTests({
       onUiAction: specificMockForThisTest,
@@ -377,7 +393,11 @@ describe('HtmlResource - onUiAction', () => {
 
   it('should not attempt to call onUiAction if iframeRef.current is null (e.g. resource error)', async () => {
     // Render with a resource that will cause an error and prevent iframe rendering
-    const localMockOnUiAction = vi.fn<[UiActionResult], Promise<unknown>>();
+    const localMockOnUiAction = vi.fn<
+      [string, Record<string, unknown>],
+      Promise<unknown>
+    >();
+
     render(
       <HtmlResource
         resource={{ mimeType: 'text/plain', text: 'not html' }} // Invalid mimeType
@@ -391,9 +411,7 @@ describe('HtmlResource - onUiAction', () => {
     ).not.toBeInTheDocument();
     // Error message should be displayed
     expect(
-      await screen.findByText(
-        'Resource must be of type text/html (for HTML content) or text/uri-list (for URL content).',
-      ),
+      await screen.findByText('Resource is not of type text/html.'),
     ).toBeInTheDocument();
 
     const eventData = { tool: 'testTool', params: { foo: 'bar' } };
diff --git a/packages/generator/package.json b/packages/generator/package.json
new file mode 100644
index 0000000..6e23a9d
--- /dev/null
+++ b/packages/generator/package.json
@@ -0,0 +1,44 @@
+{
+  "name": "@mcp-ui/generator",
+  "version": "0.1.0",
+  "private": false,
+  "description": "Generate React forms from JSON Schema",
+  "type": "module",
+  "main": "./dist/index.js",
+  "module": "./dist/index.mjs",
+  "types": "./dist/index.d.ts",
+  "exports": {
+    ".": {
+      "types": "./dist/index.d.ts",
+      "import": "./dist/index.mjs",
+      "require": "./dist/index.js"
+    }
+  },
+  "files": [
+    "dist"
+  ],
+  "dependencies": {
+    "react": "^18.2.0"
+  },
+  "devDependencies": {
+    "@types/react": "^18.2.0",
+    "typescript": "^5.0.0",
+    "vite": "^5.0.0",
+    "vite-plugin-dts": "^3.6.0",
+    "vitest": "^1.0.0",
+    "@testing-library/react": "^14.0.0",
+    "@testing-library/jest-dom": "^6.0.0",
+    "jsdom": "^22.0.0"
+  },
+  "scripts": {
+    "dev": "vite",
+    "build": "vite build",
+    "test": "vitest run",
+    "test:watch": "vitest watch",
+    "lint": "eslint . --ext .ts,.tsx"
+  },
+  "publishConfig": {
+    "access": "public"
+  },
+  "license": "Apache-2.0"
+}
diff --git a/packages/generator/src/__tests__/generateUI.test.tsx b/packages/generator/src/__tests__/generateUI.test.tsx
new file mode 100644
index 0000000..691405c
--- /dev/null
+++ b/packages/generator/src/__tests__/generateUI.test.tsx
@@ -0,0 +1,39 @@
+import { render, screen, fireEvent } from '@testing-library/react';
+import '@testing-library/jest-dom';
+import React from 'react';
+import { generateUI, JSONSchema } from '../index.js';
+
+describe('generateUI', () => {
+  const schema: JSONSchema = {
+    type: 'object',
+    properties: {
+      name: { type: 'string', title: 'Name' },
+      age: { type: 'number', title: 'Age' },
+      color: { type: 'string', enum: ['red', 'green'], title: 'Color' },
+    },
+  };
+
+  it('renders form fields based on schema', () => {
+    render(generateUI(schema));
+
+    expect(screen.getByLabelText('Name')).toBeInTheDocument();
+    expect(screen.getByLabelText('Age')).toBeInTheDocument();
+    expect(screen.getByLabelText('Color')).toBeInTheDocument();
+  });
+
+  it('updates value on user input', () => {
+    render(generateUI(schema));
+
+    const nameInput = screen.getByLabelText('Name') as HTMLInputElement;
+    fireEvent.change(nameInput, { target: { value: 'Alice' } });
+    expect(nameInput.value).toBe('Alice');
+
+    const ageInput = screen.getByLabelText('Age') as HTMLInputElement;
+    fireEvent.change(ageInput, { target: { value: '30' } });
+    expect(ageInput.value).toBe('30');
+
+    const colorSelect = screen.getByLabelText('Color') as HTMLSelectElement;
+    fireEvent.change(colorSelect, { target: { value: 'green' } });
+    expect(colorSelect.value).toBe('green');
+  });
+});
diff --git a/packages/generator/src/index.tsx b/packages/generator/src/index.tsx
new file mode 100644
index 0000000..a0a26da
--- /dev/null
+++ b/packages/generator/src/index.tsx
@@ -0,0 +1,88 @@
+import React, { useState } from 'react';
+
+export interface JSONSchemaProperty {
+  type: string;
+  enum?: (string | number)[];
+  title?: string;
+}
+
+export interface JSONSchema {
+  type: 'object';
+  properties: Record<string, JSONSchemaProperty>;
+  required?: string[];
+}
+
+interface GeneratedFormProps {
+  schema: JSONSchema;
+}
+
+const GeneratedForm: React.FC<GeneratedFormProps> = ({ schema }) => {
+  const { properties } = schema;
+  const [formData, setFormData] = useState<Record<string, unknown>>({});
+
+  const handleChange = (key: string, value: unknown) => {
+    setFormData((prev) => ({ ...prev, [key]: value }));
+  };
+
+  const renderField = (key: string, prop: JSONSchemaProperty) => {
+    if (prop.enum) {
+      return (
+        <select
+          data-testid={`${key}-select`}
+          value={(formData[key] as string | undefined) ?? ''}
+          onChange={(e) => handleChange(key, e.target.value)}
+        >
+          <option value="">Select {key}</option>
+          {prop.enum.map((option) => (
+            <option key={String(option)} value={String(option)}>
+              {String(option)}
+            </option>
+          ))}
+        </select>
+      );
+    }
+
+    switch (prop.type) {
+      case 'string':
+        return (
+          <input
+            data-testid={`${key}-input`}
+            type="text"
+            value={(formData[key] as string | undefined) ?? ''}
+            onChange={(e) => handleChange(key, e.target.value)}
+          />
+        );
+      case 'number':
+      case 'integer':
+        return (
+          <input
+            data-testid={`${key}-input`}
+            type="number"
+            value={formData[key] ?? ''}
+            onChange={(e) => handleChange(key, Number(e.target.value))}
+          />
+        );
+      default:
+        return null;
+    }
+  };
+
+  return (
+    <form>
+      {Object.entries(properties).map(([key, prop]) => (
+        <div key={key}>
+          <label>
+            {prop.title || key}
+            {renderField(key, prop)}
+          </label>
+        </div>
+      ))}
+    </form>
+  );
+};
+
+export const generateUI = (schema: JSONSchema): React.ReactElement => {
+  return <GeneratedForm schema={schema} />;
+};
+
+export { GeneratedForm };
diff --git a/packages/generator/tsconfig.json b/packages/generator/tsconfig.json
new file mode 100644
index 0000000..3aef79a
--- /dev/null
+++ b/packages/generator/tsconfig.json
@@ -0,0 +1,8 @@
+{
+  "extends": "../../tsconfig.base.json",
+  "compilerOptions": {
+    "jsx": "react-jsx"
+  },
+  "include": ["src"],
+  "exclude": ["node_modules", "dist", "src/__tests__"]
+}
diff --git a/packages/generator/vite.config.ts b/packages/generator/vite.config.ts
new file mode 100644
index 0000000..b36fdb9
--- /dev/null
+++ b/packages/generator/vite.config.ts
@@ -0,0 +1,25 @@
+import { defineConfig } from 'vite';
+import dts from 'vite-plugin-dts';
+import react from '@vitejs/plugin-react-swc';
+import path from 'path';
+
+export default defineConfig({
+  plugins: [
+    react(),
+    dts({
+      insertTypesEntry: true,
+      tsconfigPath: path.resolve(__dirname, 'tsconfig.json'),
+      exclude: ['**/__tests__/**', '**/*.test.ts', '**/*.spec.ts'],
+    }),
+  ],
+  build: {
+    lib: {
+      entry: path.resolve(__dirname, 'src/index.ts'),
+      name: 'McpUiGenerator',
+      formats: ['es', 'umd'],
+      fileName: (format) =>
+        `index.${format === 'es' ? 'mjs' : format === 'umd' ? 'js' : format + '.js'}`,
+    },
+    sourcemap: true,
+  },
+});
diff --git a/packages/server/README.md b/packages/server/README.md
index 6db63a0..5eee25e 100644
--- a/packages/server/README.md
+++ b/packages/server/README.md
@@ -60,7 +60,7 @@ interface HtmlResourceBlock {
 
 It's rendered in the client with the `<HtmlResource>` React component.
 
-The HTML method is limited, and the external app method isn't secure enough for untrusted 3rd party sites. We need a better method. Some ideas we should explore: RSC, remotedom, etc.
+`HtmlResource` on the client now supports a `secure` render mode that sanitizes HTML with DOMPurify rather than embedding it in an iframe. This is the recommended approach for untrusted content. The project will continue to explore RSC and Remote DOM as longer-term solutions.
 
 ### UI Action
 
diff --git a/pnpm-lock.yaml b/pnpm-lock.yaml
index 2168478..8d8a420 100644
--- a/pnpm-lock.yaml
+++ b/pnpm-lock.yaml
@@ -110,6 +110,9 @@ importers:
       '@modelcontextprotocol/sdk':
         specifier: '*'
         version: 1.11.3
+      dompurify:
+        specifier: ^3.2.6
+        version: 3.2.6
       react:
         specifier: ^18.2.0
         version: 18.3.1
@@ -142,6 +145,37 @@ importers:
         specifier: ^1.0.0
         version: 1.6.1(@types/node@22.15.18)(jsdom@22.1.0)
 
+  packages/generator:
+    dependencies:
+      react:
+        specifier: ^18.2.0
+        version: 18.3.1
+    devDependencies:
+      '@testing-library/jest-dom':
+        specifier: ^6.0.0
+        version: 6.6.3
+      '@testing-library/react':
+        specifier: ^14.0.0
+        version: 14.3.1(@types/react@18.3.21)(react-dom@18.3.1(react@18.3.1))(react@18.3.1)
+      '@types/react':
+        specifier: ^18.2.0
+        version: 18.3.21
+      jsdom:
+        specifier: ^22.0.0
+        version: 22.1.0
+      typescript:
+        specifier: ^5.0.0
+        version: 5.8.3
+      vite:
+        specifier: ^5.0.0
+        version: 5.4.19(@types/node@22.15.18)
+      vite-plugin-dts:
+        specifier: ^3.6.0
+        version: 3.9.1(@types/node@22.15.18)(rollup@4.40.2)(typescript@5.8.3)(vite@5.4.19(@types/node@22.15.18))
+      vitest:
+        specifier: ^1.0.0
+        version: 1.6.1(@types/node@22.15.18)(jsdom@22.1.0)
+
   packages/server:
     devDependencies:
       '@types/node':
@@ -1285,6 +1319,9 @@ packages:
   '@types/stack-utils@2.0.3':
     resolution: {integrity: sha512-9aEbYZ3TbYMznPdcdr3SmIrLXwC/AKZXQeCf9Pgao5CKb8CyHuEX5jzWPTkvregvhRJHcpRO6BFoGW9ycaOkYw==}
 
+  '@types/trusted-types@2.0.7':
+    resolution: {integrity: sha512-ScaPdn1dQczgbl0QFTeTOmVHFULt394XJgOQNoyVhZ6r2vLnMLJfBPd53SB52T/3G36VI1/g2MZaX0cwDuXsfw==}
+
   '@types/unist@3.0.3':
     resolution: {integrity: sha512-ko/gIFJRv177XgZsZcBwnqJN5x/Gien8qNOn0D5bQU/zAzVf9Zt3BlcUiLqhV9y4ARk0GbT3tnUiPNgnTXzc/Q==}
 
@@ -2134,6 +2171,9 @@ packages:
     engines: {node: '>=12'}
     deprecated: Use your platform's native DOMException instead
 
+  dompurify@3.2.6:
+    resolution: {integrity: sha512-/2GogDQlohXPZe6D6NOgQvXLPSYBqIWMnZ8zzOhn09REE4eyAzb+Hed3jhoM9OkuaJ8P6ZGTTVWQKAi8ieIzfQ==}
+
   dot-prop@5.3.0:
     resolution: {integrity: sha512-QM8q3zDe58hqUqjraQOmzZ1LIH9SWQJTlEKCH4kJ2oQvLZk7RbQXvtDM2XEq3fwkV9CCvvH4LA0AV+ogFsBM2Q==}
     engines: {node: '>=8'}
@@ -6339,6 +6379,9 @@ snapshots:
 
   '@types/stack-utils@2.0.3': {}
 
+  '@types/trusted-types@2.0.7':
+    optional: true
+
   '@types/unist@3.0.3': {}
 
   '@types/web-bluetooth@0.0.21': {}
@@ -7354,6 +7397,10 @@ snapshots:
     dependencies:
       webidl-conversions: 7.0.0
 
+  dompurify@3.2.6:
+    optionalDependencies:
+      '@types/trusted-types': 2.0.7
+
   dot-prop@5.3.0:
     dependencies:
       is-obj: 2.0.0