Вы должны выбрать, безопасность или удобство. Редактор WYSIWYG, такой как TinyMCE, очень удобен. Он позволяет неспециалистам использовать веб-интерфейс для обновления какого-либо контента с помощью тегов html или без них. Его ленивый способ позволить кому-то нетехническому обновить html, и он поставляется со всеми видами опасностей. Когда вы предоставляете пользователям доступ к интерфейсу TinyMCE в свою базу данных, это абсолютно равнозначно тому, как предоставить клиенту базы данных обновление данных непосредственно в вашей базе данных.
Кроме того, обратите внимание, что на сегодняшний день существует большое Cross-Site-Scripting, который не является вредоносным, то есть на самом деле Facebook, LinkedIn, YouTube, и т.д. интеграции, которая требует ссылки сценария на домены третьего лица и т.д.
Итак, если вы затвердели инструмент TinyMCE, чтобы XSS не мог быть добавлен, это будет бесполезно для серьезного веб-разработчика во многих сценариях.
Но если вам необходимо сделать дополнение/редактировать/обновить/удалить редактор XSS, вам необходимо проверить и дезинформировать все входы, и ваш лучший выбор - сделать свой собственный.