年中暁を覚えず・・・・

---

例えば以下のようにjavaScript上でｈｔｍｌ要素を出力するような処理がある場合、クロスサイトスクリプティング対策としてvalueの内容をエスケープ処理する必要があります。
$("test").html(value);

ただJQueryの関数などで直接行う方法が無いようです。
したがって、「$.text() 関数を使うとブラウザが勝手にエスケープ処理を行ってくれる」という処理を利用します。




こんな関数を作ります。（ダミー領域のtextにパラメータを一度セットし、そのhtml要素を返す。）
var escapeHTML = function(val) {
      return $('<div />').text(val).html();
};

こうやって使用します。
value = escapeHTML(value);

valueの内容に<script>xxx</script>等のjavaScript文字列が含まれていた場合もエスケープ処理が施されます。

賢いですね～。

以下を参考にさせていただきました。
http://hiromitz.jimdo.com/2010/07/01/jquery-%E3%82%92%E4%BD%BF%E3%81%A3%E3%81%A6html%E3%82%BF%E3%82%B0%E3%82%92%E3%82%A8%E3%82%B9%E3%82%B1%E3%83%BC%E3%83%97%E3%81%99%E3%82%8B/
http://semooh.jp/jquery/api/attributes/text/val/

---