perdonami tu, ma scendere nel dettaglio se non hai solide basi mi porta via troppo tempo

quello che consiglio se vuoi impedire all' utente di inserire tag html e'

function visualizza_testo(){
contenuto=document.getElementById("testo").value;
contenuto=contenuto.replace(/(\S{10})/g,function($1){return $1+' '});
contenuto=contenuto.replace(/<[^\d\s].>/g,'');
contenuto=contenuto.replace(/\n/g,"
");
document.getElementById("preview").innerHTML=conte nuto;
}

ciao