▼テンプレート
[EC-CUBE]3.0.16
[導入プラグインの有無] ContactProduct, NoTransitionCart

上記のプラグインの中で、商品詳細ページにおいて
商品詳細ページをcrawlして、html_entity_decodeして
要素の追加を行っていますが、当サイトではヘッダ部にお客様の
名前を表示しており、こちらにxssのコードを入力すると
html_entity_decodeされ有害化されてしまいます。

①プラグインを通さないと以下のように出力
"><sCRiPt>alert('aa');</sCrIpT>
②プラグイン内で、crawl、html_entity_decodeして要素を追加

③scriptタグが有効になって出力される
"><sCRiPt>alert('aa');</sCrIpT>

こちら、無害化するにはどのように対処するものでしょうか。

おそらく、以下のサンプルプラグインを実行すると発生します。
https://github.com/shhirose/eccube3-CrawlerBugTest/blob/master/Event.php

ご助言のほど、よろしくおねがいします。