jQuery

tem isso

peculiaridade, em
que não se pode passar dados do usuário para $() function:

$('<img src=1 onerror=alert(document.domain)>')    

O $()código acaba criando um nó HTML , o que pode levar a uma vulnerabilidade XSS .

Este vetor de bugs é conhecido há algum tempo ( bug # 9521 ; bug # 11617 ), mas infelizmente ainda pode ser explorado em alguns casos.

{modificado para gramática / efeito de src

adereços para @alokmenghrajani }