>>405
> 細かいが、.html()ではなくて.text()を使うべきだ。>>391

元々のコードがinnerHTMLだったからね。

セキュリティ上で注目する点は、それが外部から与えられた値か
どうかってのが重要な点だから直接html()を使うかどうかは関係ないよ。

今回はHTMLタグを使わなかったのだからtext()でもよかったが、
外部から与えられる値ではないのでhtml()でも問題ない。

> 管理しきれるのならinnerHTMLで統一するのもありだが、現実的には無理だと思うぞ。
繰り返すけど、innerHTMLかどうかではなくて、
使用する値が外部から与えられた値かどうかを管理するべき
他にもクッキーとかある。