XSS CSS через style

В теории, очистив строку функцией strip_tags, мы можем перечислить разрешенные теги. Например <b>, вроде как безобидный. Но при этом можно указать для тега <b> параметр style, в котором можно понаписать чего угодно. Например style=background-image:url (http://www.evil.ru/evilscript.js), и stip_tags это не вырежет — проверенно. Ведь это уязвимость, или мне пора спать?