Я часто задавался вопросом: зачем использовать белый список, а не черный, при очистке ввода HTML?
Сколько хитрых HTML-трюков существует для открытия XSS-уязвимостей? Очевидно, что теги скриптов и фреймы не разрешены, и для полей в элементах HTML будет использоваться белый список, но зачем запрещать большую часть всего?