Retour sur r92321 trop strict avec les iframe (on ne pouvait plus embed des videos) et trop laxiste avec bien d'autres balises
On modifie l'approche, toute balise iframe, embed, object, img, image, body, bgsound, meta avec une url contenant : (mais hors ://, donc on vise data: et javascript:) est echappe
idem si une de ces balises contient un "on" (attribut onxxx), on l'echappe si elle ne passe pas dans safehtml

Ainsi on reduit les appels (lourds) a safehtml au maximum et on echappe tout ce qui est suspect, mais en laissant passer des embed licites comme avant