Uhm, hai ragione, già P può essere pericoloso...

Perdonami, ma quindi quello che sostenevo io lo confermi implicitamente anche tu: o ci si premura di fare lato server una vera validazione del codice HTML ricevuto, fatta che sia tramite regexp, tidy o qualsiasi altro metodo, oppure tanto vale escludere a priori tutti i tag; e escludere tutti i tag garantisce di mettersi al riparo da qualsiasi XSS.