jQuery
tem isso
peculiaridade, em
que não se pode passar dados do usuário para$() function
:
$('<img src=1 onerror=alert(document.domain)>')
O $()
código acaba criando um nó HTML , o que pode levar a uma vulnerabilidade XSS .
Este vetor de bugs é conhecido há algum tempo ( bug # 9521 ; bug # 11617 ), mas infelizmente ainda pode ser explorado em alguns casos.
{modificado para gramática / efeito de src
adereços para @alokmenghrajani }