Natürlich nicht, die werden bei Bedarf (der ggf. gar nicht besteht) hinzufgefügt. Während dessen ist die Anzeige/Ausgabe vielleicht unvollständig aber sicher.
Mit deiner Blacklist hast Du bis zur Anpassung ggf. eine Sicherheitslücke.

Das lass' ich als Argument gelten - wobei die Frage zu stellen ist, inwieweit ein Webmail Client für die Sicherheit in diesem Belangen verantwortlich ist, wenn eigentlich der Browser das Problem ist.

Ich plädiere für den Browser auf Unschuldig. Der macht halt das was von ihm verlangt wird, sofern er es denn kann -- oder glaubt zu können (da wären Vorwürfe eher angebracht.)