je ne vois pas trop en quoi le Javascript présente tellement plus de risque ?

Accepter du code HTML venant du client pour ensuite l'afficher sur le site, c'est un risque de sécurité (cross-site scripting par exemple).



je me pose surtout la question de la rapidité d'exécution qu'il pourrait y avoir entre les deux parsers

Javascript peut parfois être lourd.
Et surtout le gros du problème, c'est que d'un navigateur à l'autre ça ne se comporte pas pareil.
ça risque d'être galère à développer.