Säkerhet till url- och img-taggar i BB-code (regex)

Hej!

Har stött på trubbel när jag gör om bbcode till html med hjälp av regex i JavaScript på min sida. Problemet är säkerhet med en del taggar.

1. URL-taggar
Innan kunde man på min sida skriva [ url=#" onclick="alert('test');"]Länk[/url] och då visades en alert-box när man klickade. Med hjälp av att ta bort alla enkel- och dubbelfnuttar löstes detta problemet. Men finns det andra scenario man också måste tänka på när det kommer till [url]-taggen? Och hur skyddar jag mig mot det isåfall?

2. IMG-taggar
Vilket skydd behöver jag mot dessa? Räcker det att kolla att ändelsen på url-adressen man skriver in i img-taggen slutar på en känd bildfiländelse? Eller behöver jag andra typer av säkerhet också?

Har googlat en del utan något vidare bättre resultat.

Tack på förhand!