Нет, существует очень много векторов атак, потому что javascript и разметка интерпретируются, браузеры любят автоматически исправлять опечатки пользователей, а некоторые браузеры имеют небезопасную проприетарную поддержку javascript в css и т. Д. Вы можете заблокировать «script», но как насчет «sc ript "(да, некоторые браузеры это исправят) или" scrscriptipt "?Когда ваш простой валидатор удаляет один скрипт, он фактически оставляет другой.Это должно быть рекурсивным.А как насчет onload, onblur, onmove и т. Д.?Есть еще очень много неясных хаков: http://ha.ckers.org/xss.html
Кроме того, простая возможность получить ссылку или, что еще хуже, тег изображения, позволит пользователю сделать так, чтобы ваш клиент и другие пользователи на странице делали любые произвольные запросы GET.включая имитацию форм администратора (если вы неправильно вводите в свои входные данные и GET, и POST) - почему, по вашему мнению, Facebook перезаписывает все опубликованные ссылки, чтобы сначала пройти через свой прокси-сервер?
Слишком много для одного человека, чтобы отслеживатьсам по себе.Вам следует взглянуть на библиотеку с открытым исходным кодом, подобную этой, где люди работают вместе над решением и обновляются при обнаружении новых эксплойтов: http://htmlpurifier.org/ (php)
Я уверен, что в других языках есть эквивалент,