Я использую htmlPurifier для предотвращения XSS-атак со стороны пользователей, и все работает нормально в полях input type="text". Но когда я пытаюсь очистить текстовые области tinyMCE, кажется, что htmlPurifier не работает, например:
Простое текстовое поле ввода
Вход.:
<script>alert("XSS")</script>Cleaning Test
Результат: Тест на очистку
текстовая областьtinyMCE
Вход.:
<script>alert("XSS")</script>
Выход: <script>alert("XSS")</script>
Я что-то пропустил ? Почему htmlPurifier работает с простым вводным текстом, а с текстовым полем tinyMCE — нет?
P.S. Волшебные кавычки отключены