Yo opino lo contrario, es mucho más fácil implementar un sistema de BBCode que filtrar cada una de las posibilidades de inyectar código HTML/Javascript malicioso. No sólo iframe ni script, existen los eventos on(.*), el esquema URI Javascript, etiquetas mal formadas, con CSS puedes cambiar la forma en que se presenta un elemento y quitarlo del flujo normal para engañar al usuario y un largo etc.