Ja, CSS kann auch aktive Inhalte enthalten, z.B. behavior, calc (womöglich CPU-Teergruben), javascript-Pseudo-URLs. Weitere Risiken: Netzwerküberlastung, Netzwerkteergruben, Einbettung von illegalem Schweinkram als Bild, DoS mittels Einbetten von Dokumenten von Drittparteien. Insgesamt ist nicht abzuschätzen, was alles schief gehen kann, wenn du fremde Inhalte von böswilligen Benutzern ungefiltert übernimmst, welche sich auch noch jederzeit ändern dürfen.

Die bewährte Vorgehensweise im Hinblick auf die Sicherheit ist es, zunächst ein strenge Ausnahmeliste (Whitelist) zu erzeugen, dann Benutzereingaben/-dokumente hindurchzufiltern, z.B. mittels http://p3rl.org/CSS::Adaptor::Whitelist. Das Ergebnis hostest du selber!