Todos nós sabemos que o XSS é ruim e todos nós usamos jQuery, infelizmente sua API doc não faz um bom trabalho explicando quais métodos jQuery são seguros para usar para entrada sem escape, e quais não são.
Seguro
.text()
.attr()
// ainda precisa ter cuidado quando usado em umhref
.prop()
.val()
Inseguro
$("html code")
.html()
.append*()
.insert*()
.prepend*()
.wrap*()
.before()
.after()