Поговорили немного с пользователем KindShaman о тегах iframe и безопасности. Конечно, мне указали на то, что не просто так форум этого тега боится и через него можно делать всякие гадости. Однако же, любой сторонний iframe грузить на страницы форума в рамках задачи не обязательно, достаточно по маске проверять, что фрейм -- это именно youtube-ролик. Так как сервис сам генерирует код для встраивания, он у него крайне предсказуемый и легко укладывается в рамки регулярного выражения a-la что-то такое:
(проверил на коде выше по странице, работало)
(если копировать этот код, то лучше из "кода" сообщения, потому что отображается он на странице форума немного не так).
То есть всё жёстко -- шаг влево-вправо -- расстрел. Ничего чужого не пройдёт. Но я, конечно, не в курсе насчёт тонкостей реализации, просто если надо совместить безопасность и новые ролики с youtube, предложил бы что-то такое.