В админке phpbb есть пункт "Разрешить HTML". Он по умолчанию выключен, и не знаю, какой идиот его будет включать. Так что это все не то.

Вообще когда появились коды xss еще на 17ю версию, на фурумах поддержки стали с большим опозданием появляться заплатки и их авторы говорили, что это защита не идеальная, коды надо дорабатывать и лучшего пока нет. Но проблема с хсс решалась тогда и решается до сих пор из той же админки пхпбб. Там в автоцензоре заменяются все возможные ключевые слова вроде "dokument", "cookie", "javascript" и проч. Лучше заменить на те же слова, но с русскими буквами. хсс не проходит. причем атакующему непонятно почему. Правда подписи юзеров при такой "защите" приходится сокращать знаков до двухсот. Там автоцензор не работает.