Я изучаю xss-предупреждение через этот ppt: http://stash.github.io/empirejs-2014/#/2/23, и у меня есть вопрос на этой странице.
В нем говорится, что "JavaScript-санитария не спасет вас от innerHTML", и я попробовал простой тест следующим образом:
<!doctype html>
<html>
<head>
<meta charset="utf-8">
<title>test</title>
</head>
<body>
<div id="test"></div>
<script>
var userName = "Jeremy\x3Cscript\x3Ealert('boom')\x3C/script\x3E";
document.getElementById('test').innerHTML = "<span>"+userName+"</span>";
</script>
</body>
</html>