Vielen Dank schon mal für die Antworten. Mein Zwischenstand ist zur Zeit der hier:

  
    public function getSecureHtmlMessage() {  
        $html = $this->html_message;  
  
        $doc = new DOMDocument();  
        $doc->loadHTML(utf8_decode($html));  
        foreach ($doc->getElementsByTagName('script') as $script) {  
            $script->parentNode->removeChild($script);  
        }  
  
        return $doc->saveXML();  
    }  

Damit bekomme ich schon mal die scripts raus. Jetzt kommen noch die ganzen Event-Handler dran. Damit sollte ich das Maß an Sicherheit bekommen, das für meinen Anwendungsfall nötig ist. Es wundert mich bloß, dass ich dafür noch keine fertige PHP-Bibliothek gefunden habe.