Ich weiß nicht, ob das Suchen von Strings der richtige Ansatz ist. Eine saubere Lösung wäre, den vom Benutzer erstellten Inhalt parsen zu lassen, wobei du ein DocumentFragment erhältst, den entsprechenden Inhalt darauf prüfen, ob nur bestimmte erlaubte Elemente und Attribute vorkommen und alles andere zu entfernen.
Mit der Blacklist-Methode hast du nämlich das Problem, dass irgendein zukünftiger Browser (bzw. eine neue Version eines existierenden Browsers) ein neues, proprietäres Attribut einführt und schwupps, ist deine Seite XSS-anfällig.