Ich denke, JS klappt eh nicht. Sämtliche Eigenschaften eines Tags, die mit on beginnen werden unschädlich gemacht und JS läßt sich auch nicht per href aufrufen. Vielleicht noch aus Flash heraus oder so, aber wer Flash hat, der braucht JS eh nicht (eher einen guten Nervenarzt).
Es wäre minimal sicherer, <script> zu unterbinden... Ach, ist auch egal. Wenn jemand so verzweifelt ist, Daten zwischen verschiedenen obskuren Medienobjekten hin- und herzuschieben, um ein bösartiges Script auszuführen, dann soll er doch seinen Angriff kriegen. Die Mods löschen die Sig dann eh innerhalb von Minuten.