$xss_attack = array("<script","</script>","location.href","document.cookie","src=", ".js","http://","alert(","%3E","%3C");

А какже события onlick/onmouseout/on.... а оттуда уже document.write(decode.string - или как его там, и делаем чо хочем)