自己レスすみません.一番重要なことを書き忘れていました.
JavaScriptとは何も<script></script>内にあるとは限らないので
<b onClick="window.open('http://danger/')">fff</b>
などでも発生します.
さっきの方法よりもこちらの方がおそらく現実的でしょうね.
以前<script>タグのみを必死にエスケープしていた業者がいて
何度説明してもわかってくれずあきらめました(笑)
/* -----------------------------------
Hideo NAKAMITSU <nomo@bluecoara.net>
http://solaris.bluecoara.net/
----------------------------------- */