html() vs innerHTML jquery/javascript & XSS 공격

Question

내 코드에서 xss 공격을 테스트하고 있습니다. 아래 예제는 사용자가 원하는 것을 입력 할 수있는 간단한 상자입니다. "test!"를 누른 후 버튼, JS 두 divs.This에 입력 문자열을 보여줍니다 것은 내가 더 잘 내 질문에 설명하기 위해 만든 예입니다

<html> 
<script src="http://ajax.googleapis.com/ajax/libs/jquery/1.7.1/jquery.min.js"></script> 
<script type="text/javascript"> 
    function testIt(){ 
     var input = document.getElementById('input-test').value; 
     var testHtml = document.getElementById('test-html'); 
     var testInnerHTML = document.getElementById('test-innerHTML'); 
     $(testHtml).html(input); 
     testInnerHTML.innerHTML = input; 
    } 
</script> 
<head>this is a test</head> 
<body> 
    <input id="input-test" type="text" name="foo" /> 
    <input type="button" onClick="testIt();" value="test!"/> 
    <div id="test-html"> 
    </div> 
    <div id="test-innerHTML"> 
    </div> 
</body> 

당신이 .html 파일에 복사하고 그것을 실행하려고하면, 괜찮 으면 좋겠지 만 <script>alert('xss')</script>을 입력하려고하면 'test-html'div (html() 함수 사용) 내부에 하나의 경고 상자 만 표시됩니다.

정말 이런 일이, 또한, 불을 지르고와 코드를 검사하는 이유를 이해할 수는 test-html 사업부가 비어 볼 수

<body> 
this is a test 
<input id="input-test" type="text" name="foo"> 
<input type="button" value="test!" onclick="testIt();"> 
<div id="test-html"> </div> 
<div id="test-innerHTML"> 
    <script> 
    alert('xss') 
    </script> 
</div> 
</body> 

(스크립트를 주입 후) 나에게이 결과를 제공하고, test-innerhtml div 스크립트를 경비합니다. 누군가 왜 저에게 말할 수 있습니까? 왜냐하면 html()이 스크립트 삽입 또는 이와 유사한 보안으로부터 더 안전하기 때문입니까?

미리 감사드립니다.