Il problema non è l'editor WYSIWYG. Sono codice clientide. Il problema con tali editor è quando sono integrati con il serveride per pubblicare contenuti o eseguire un caricamento dell'immagine.
Gran parte della cattiva reputazione deriva da quando sono inclusi in un plug-in CMS. Quelli si integrano con la base di codice server e non sono sempre codificati in modo sicuro o l'exploit si trova in codice non correlato all'editor WYSIWYG. Dal momento che l'attacco al serveride ha origine dall'editor WYSIWYG, si dà la colpa anche se lo stesso attacco poteva essere eseguito da un'area di testo o da una richiesta POST allo script vulnerabile.
Tenere presente che potrebbero fornire tutorial per l'integrazione con un linguaggio serveride. Ma questi sono solo esempi e non dovrebbero essere usati come script pronti per la produzione. Sfortunatamente le persone prendono questi script e corrono con loro. Quindi, ancora una volta, la colpa viene messa sull'editor WYSIWYG, nonostante l'errore debba essere posto su uno sviluppatore pigro.
Entrambi i montatori che hai citato sono abbastanza ben mantenuti e non puoi sbagliare neanche. Tuttavia, se non si utilizza un plug-in CMS, la codifica sicura spetta a te.
Modifica: con la menzione degli attacchi XSS sul lato client vale lo stesso. Il tuo serveride sta trasferendo tali dati nell'editor WYSIWYG. Si aspetta che qualunque cosa tu invii è ciò che desideri che venga visualizzato. La sanitizzazione del codice maligno deve essere eseguita dalla tua parte prima che venga alimentata dal client.