Это связано с HTMLPurifier - добавление в список игнорирования. Я добавил пару тегов в белый список. У меня есть этот код сейчас -
$config->set('HTML', 'AllowedElements', array("customreport", "column", "columnseq"));
$def = $config->getHTMLDefinition(true);
$def->addElement("customreport", 'Block', 'Flow', 'Common', array());
$def->addElement("column", 'Block', 'Inline', 'Common', array());
$def->addElement("columnseq", 'Inline', 'Empty', 'Common', array('path'=>'CDATA', 'label'=>'CDATA'));
Проблема в том, что если я отправляю html-тег, значение атрибута которого заключено в одинарные кавычки, htmlpurifier меняет его на двойные кавычки. Например,
<columnseq path='test' label='tlabel' />
Это происходит даже на демонстрационном сайте (http://htmlpurifier.org/demo.php), с тестовая строка
<A HREF='http://www.google.com/'>XSS</A>
Можно ли переопределить это поведение?