знаю этот ресурсик, крайне полезный, из этих техник срабатывает только marquee, но без script, т е в итоге получаем только бегущую строчку ...
эта зараза вставляет <x> во все слова типа style, expression, onerror, onload, script, alert, javascript, iframe, onmousover, onclick, eval ...
причем что примечательно, предварительно вырезает \ + и прочее
и вместо < (%3С и др кодировок) ставит &gt, а также ",',>