わかりやすさのためにHTMLを開くと書いたがテキストをはじめとするユーザー入力を表示するために
パースしてDOMに入れる行為にブラウザと同じくXSSのリスクがあってそれが実行アプリを越えて攻撃できるので危険度激大ということ
ウェブページのようにファイルをHTMLとして解釈させる必要などない
DOMに入れなきゃ表示できないんだからむしろすべてHTMLとさえ言える
VSCodeですらXSSの成功が報告されてて危なくて使えない
はっきり言ってこの程度のアンテナも張れない無能は初心者でもなければ技術者やめたほうがいいよ
こんな赤ちゃんみたいに懇切丁寧に説明されなきゃ理解できないなんてまともなプログラマなら恥ずかしくて死んじゃうぞ