ユーザー入力データをHTML文書にそのまま組み込んではいけない

Webアプリケーションの基本的なセキュリティ対策として、ユーザーから入力されたデータをHTML文書にそのまま組み込んではいけない。理由は、悪意のあるユーザーが情報を不正に取得するスクリプトやプログラムを実行しようとするのを防ぐためである。
jQueryでは、HTML文書にデータを組み込んで表示させるメソッドとしてtextとhtml、appendなどがある。
textメソッドではHTMLタグに用いられる<,>などの文字が自動的に&lt;や&gt;などに変換されるが、htmlやappendなどではそれが行われず、ユーザーから入力されたデータをそのままhtmlやappendなどの引数にしてしまうと、開発者が意図しないJavaScriptプログラムが実行できてしまうからである。
これらからユーザーから入力されたデータを画面に表示するときには、textメソッドを利用するとセキュリティの問題が少なくなる。