Introduction to Web Components - DOM ECMAScriptingテンプレートとして HTML 断片または DOM 部分木を用いるには、大きく 2 種類の方法が考えられます。1 つは文字列としてテンプレート出力する方法。これは DOM API に不慣れな人にも分かりやすい反面、セキュリティ問題を引き起こしやすいデメリットがあります。例えば、次のように ul 要素を出力するコードがあるとします。 var attr = 'sample.html'; var text = 'サンプル'; document.getElementById ('result').innerHTML = '<ul>' + '<li><a href="' + attr + '">' + text + '<\/a><\/li>' + '<\/ul>'; 一見してお分かりのように、もし変数 attr に "、<、>、& が含まれていたら、あるいは変数 text に <、&、]]> が含まれ
