Damit bin ich hoffentlich auf der sicheren Seite, oder gibts noch andere tags die "bösartig" verwendet werden könnten?

Also wenn ich dich richtig verstehe, dann kann hier ein User eine HTML-Seite gestalten die dann irgendwo GEPARSED angezeigt wird? ...

Man könnte auch ganz einfach, ohne Script-Tag ein,

<body onLoad="for(var i = 0; i < 10000; i++) alert('SPAM!!!');">

einbauen und schon wäre das Script lahmgelegt... bzw würde vielleicht auch der Browser abstürzen...

Sowas ist immer Heikel!

Gruß,
Matty