セキュリティmemoより
「通常とは異なる記述の javascript: プロトコルが実行される」
http://support.microsoft.com/kb/906522/JA/

javasc%26amp%3b%2309%3bript って書いても実行されるんだってさ（ｗ

&#(10進数の数字); といった記述方法では、Internet Explorer は を水平タブと解釈しますが、 HTML 内で水平タブは無視されるため、javascript が実行されます。
この記述法ではなく、通常の水平タブを javascript: 内に挿入した場合にもこの現象は発生します。

すんごいスクリプトエンジンだなー、プリプロセッサーがわざわざ実行させることを目標にクリーニングするなんて。

解決方法
IMG タグの SRC プロパティなどでも本現象は発生し、スクリプトが実行されます。
従いまして、スクリプトの実行を防ぐためにはサーバー側で IMG タグの SRC プロパティに javascript: などのプロトコルが設定されないような設計をされることをお勧めいたします。

や、だから、そのjavascript:って書き方が、それではマッチングしないって問題じゃないの？つくづくおばかな「解決方法」だな。

さ、Web Security関係者、ささ、さささ。