Dans cet exemple, l'utilisateur tape du texte dans un champs texte <input>, puis appuie sur un bouton. La valeur saisie est ensuite affichée à l'aide de .html() dans le paragraphe.
Si l'utilisateur a saisi du texte simple (des lettres ordinaires), le programme fonctionne correctement.
Si l'utilisateur rentre des caractères spéciaux, il peut y avoir des problèmes d'affichage. Par exemple un "<" sera considéré comme un début de balise. C'est embêtant.
On peut imaginer un contexte où un utilisateur malveillant fourni du texte contenant du JS. Plus tard un autre utilisateur (par exemple un admin) lit la page. Si un programme JS copie avec .html() le texte fourni par l'utilisateur malveillant, alors celui-ci pourra voler ses cookies...