Пробовал подсунуть в insert xss скрипты из инэта, они не отрабатывали при выводе.
Они не срабатывали не потому что у вас Mongodb шибко защищенное, а потому что скорее всего
CSP в браузере включено (а оно может быть включено не у всех). И таки да - оратор выше полностью прав, экранировать и очищать строки нужно на этапе вывода\рендера шаблона
