例えば以下のようにjavaScript上でｈｔｍｌ要素を出力するような処理がある場合、クロスサイトスクリプティング対策としてvalueの内容をエスケープ処理する必要があります。 $("test").html(value); ただJQueryの関数などで直接行う方法が無いようです。 したがって、「$.text() 関数を使うとブラウザが勝手にエスケープ処理を行ってくれる」という処理を利用します。 こんな関数を作ります。（ダミー領域のtextにパラメータを一度セットし、そのhtml要素を返す。） var escapeHTML = function(val) { return $('<div />').text(val).html(); }; こうやって使用します。 value = escapeHTML(value); valueの内容に<script>xxx</script>等のjavaScr