HTTP経由で入力された文字列の特殊文字(<>&'")を、エスケープしないでブラウザに送出する、というのは基本的にはやってはいけないことです。 ゲストなり信用できないユーザの投稿をそのように表示すれば、単純にScriptInsertion脆弱性ですし、管理者や信用できるユーザだけに許可したとしても、きちんと対策しなければCSRFとのコンビネーション攻撃の対象になるだけです。 その一方で、ブラウザのWYSIWYG Editorを利用したい、という需要は常にあります。ブラウザのWYSIWYG Editor機能を利用したいが故に、本来のエスケープ処理を外してHTMLを許可する、なんてHack例も多く見られますが、これは当然、「わざわざ穴を開けている」ことに他なりません。 HTMLを許可せずに、WYSIWYGなエディタが使えれば良い 転じて BB-Codeを直接解釈するWYSIWYGエディタ これ