salve,
una domnda per intenditori:

se io, in un input utente impongo che non venga inserito il tag <form> per motivi di sicurezza,
e' possibile che un acker inserisca un tag personalizzato del tipo <myForm>, e che poi sviluppi un browser che interpreti il tag <myForm> come se fosse il tag <form>?

Se si, c'e' un modo per impedire cio' senza rinunciare alla formattazione html del testo immesso come ad esempio avverrebbe con Server.HtmlEncode.