насчёт слэша тоже не так всё просто, например такая бадья проходит:

http://narod.yandex.ru/100.xhtml?</font><script>location.replace('http://narod.ru')</script><font>

единственное пробелы не обрабатываются:
та же самая вставка картинки <img src=""> не проходит изза пробела, он в конечном случае идёт как %20 и весь код изпахабивается