>>409
> 元々のコードがinnerHTMLだったからね。
ああなるほど、これは失念していた。

> 外部から与えられる値ではないのでhtml()でも問題ない。
いやこれはそうじゃない。
CDNをクラックされてmoment.jsを差し替えられたら、
>>391のコードを採用しているサイトを見ているクライアントは
いい感じにXSSのボットネットになっちまうだろ。
鯖設定で回避も可能だが、二重三重にしたいのなら、
textContentで済む場合はそっち使え、って話さ。

ハードコードの場合は全く問題ない。
ソフトコード(とは普通言わないが)の場合は危険だが、今回はそうではない。
ただしハードコードでもないんだよ。あえて言うならファームコード?なのかな。

そして根本的な原因は、374に書いたとおり、
馬鹿が書いたサイトを初心者が信じてそのまま使っちゃうことだね。
初心者向けのサイトだからこそtextContent原理主義じゃないと困る。


あと、見りゃ分かるが>>406みたいに何も分かってない馬鹿が俺に粘着しているわけだが、
俺はついでにこの馬鹿も殺したいので、
可能であればもう少し考えてからレスしてくれ。
君がスルーしてくれれば俺がこの情報を出す必要は無かった。
そして君には少し考えれば上記CDNのクラック位思いつく知識はあるはずだ。
ただなんとなく、君はlodash君の感じではないなあ。誤解していたならすまんかった。


韓国人死ね