Du kan ikke beskytte mot XSS ved å fjerne tekst som ser ut som HTML, hvertfall ikke med en primitiv regex ala s/<.*>//g som gjort her. Den eneste riktige måten å hindre XSS på er HTML-encoding. Det vil i prinsippet si å gjøre < til < > til > og " til ". Det beste er å bruke et rammeverk som gjør dette automatisk, som f. eks. React eller Vue.js